Falha grave no Apex One da Trend Micro é explorada ativamente; CISA impõe prazo de correção até 4 de junho

Brecha no guardião corporativo

Uma das soluções de cibersegurança mais utilizadas por grandes empresas ao redor do mundo virou alvo dos próprios ataques que deveria prevenir. O Apex One, plataforma de proteção de endpoints corporativos da Trend Micro, apresentou uma vulnerabilidade séria de traversal de caminho de diretório — catalogada como CVE-2026-34926, com pontuação CVSS de 6.7 — que permite a um invasor com credenciais administrativas manipular tabelas internas do servidor e injetar código malicioso nos agentes distribuídos pela rede corporativa. Em outras palavras, o canal de distribuição confiável da ferramenta pode ser transformado em vetor de propagação de malware.

Exploração confirmada e resposta regulatória

A Trend Micro confirmou que detectou ao menos uma tentativa de exploração ativa da falha em ambiente real antes mesmo da divulgação pública do boletim de segurança, publicado em 22 de maio de 2026. A gravidade do cenário levou a Agência de Cibersegurança e Infraestrutura dos Estados Unidos (CISA) a incluir o CVE-2026-34926 em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) no dia 21 de maio, estabelecendo prazo até 4 de junho de 2026 para que todas as agências civis do Executivo Federal americano apliquem as correções disponibilizadas pelo fabricante. A adição ao KEV é um sinal inequívoco de que a ameaça deixou o plano teórico e passou a exigir resposta imediata.

Como a falha funciona na prática

A vulnerabilidade afeta exclusivamente a versão on-premises do Apex One — instalações locais gerenciadas pelas próprias organizações. Ao explorar o traversal de diretório, um atacante que já tenha obtido credenciais administrativas por métodos alternativos (como phishing ou reutilização de senhas) consegue modificar uma tabela-chave no servidor central e fazer com que os agentes instalados nas máquinas da rede corporativa recebam e executem código arbitrário. O risco é amplificado pelo fato de que os agentes, por design, confiam plenamente nas instruções enviadas pelo servidor — tornando a injeção praticamente invisível para o usuário final. Ao todo, sete outras vulnerabilidades foram divulgadas junto com o CVE-2026-34926 no mesmo boletim, elevando a superfície de ataque do produto.

Padrão preocupante e medidas recomendadas

Este é o quarto zero-day registrado no Apex One desde 2022, um histórico que levanta questões sobre a maturidade do ciclo de desenvolvimento seguro da plataforma. Para os usuários do Apex One as a Service (versão em nuvem), os patches para os agentes de segurança já haviam sido aplicados automaticamente em abril de 2026, sem necessidade de intervenção manual. Os administradores da versão on-premises, no entanto, precisam agir com urgência: a Trend Micro recomenda atualizar imediatamente tanto o servidor quanto os agentes, revisar os privilégios de acesso ao console de administração e auditar eventuais acessos remotos não autorizados que possam ter ocorrido antes da aplicação do patch. Manter políticas de menor privilégio e segmentação de rede são camadas adicionais de defesa que reduzem o impacto de credenciais comprometidas.

Contexto mais amplo

A CISA adicionou ao KEV, no mesmo ato, o CVE-2025-34291, uma falha crítica de execução remota de código na plataforma Langflow com CVSS 9.4, atribuída a grupos patrocinados pelo estado iraniano. O movimento regulatório reforça uma tendência das autoridades norte-americanas de acelerar a resposta institucional a vulnerabilidades confirmadas em produção, encurtando janelas que antes levavam meses para serem endereçadas por equipes de TI sobrecarregadas.

Fonte original: TecMundo — Serviço de cibersegurança Apex One descobre falha interna grave. Informações adicionais corroboradas por BleepingComputer, Help Net Security e The Hacker News.