Jeśli używasz Trend Micro Apex One w wersji on-premise — zaktualizuj do SP1 Critical Patch Build 18012 natychmiast. Termin CISA dla agencji federalnych minął dziś, 4 czerwca. Uwaga: pierwotna łatka CP 17079 została tymczasowo wycofana z powodu niepowiązanego problemu i zastąpiona buildem 18012 — jeśli wgrałeś 17079, sprawdź czy masz aktualną wersję. Wersja chmurowa (SaaS) nie jest podatna.
Trend Micro potwierdził, że CVE-2026-34926 — podatność typu directory traversal w serwerze Apex One — była eksploatowana jako zero-day. Zespół reagowania na incydenty TrendAI zaobserwował co najmniej jedną próbę wykorzystania w praktyce i sam zgłosił błąd. CISA dodała go do katalogu Known Exploited Vulnerabilities 21 maja, z terminem naprawy dla agencji federalnych na dziś.
Ocena CVSS jest umiarkowana — 6.7, medium. Ale ta liczba, jak zaraz zobaczymy, jest myląca — i jest dokładnie tym samym problemem oceny, o którym pisaliśmy dziś rano.
Co dokładnie robi CVE-2026-34926
Apex One to platforma ochrony endpointów Trend Micro — lekkie agenty zainstalowane na laptopach, desktopach i serwerach organizacji, które monitorują zagrożenia i mogą automatycznie blokować lub kwarantannować podejrzane rzeczy. Wszystkie raportują do centralnego serwera, przez który zespoły IT zarządzają politykami bezpieczeństwa.
Podatność jest typu directory traversal (CWE-23). Mechanizm, według Trend Micro i CISA: lokalny, pre-uwierzytelniony atakujący może zmodyfikować kluczową tabelę na serwerze Apex One, wstrzykując złośliwy kod, który następnie jest wdrażany na agentach na wszystkich dotkniętych instalacjach.
Konkretniej, jak opisuje to analiza techniczna: atakujący używa ścieżki traversal (typu ../../../../path/to/keytable), by nadpisać tabelę kluczy serwera, wstrzykując ładunek, który zostaje wdrożony na wszystkich agentach. Ta tabela jest odczytywana podczas normalnej komunikacji z agentami — więc wstrzyknięty kod rozchodzi się tą samą drogą, którą agenty normalnie dostają aktualizacje polityk.
Skutek jest opisany wprost: atakujący, który wykorzysta tę lukę, zyskuje wektor propagacji do każdego zarządzanego endpointu w organizacji — efektywnie weaponizując własną infrastrukturę obrońcy.
Wzorzec, który widzimy trzeci raz w tym tygodniu
Tu jest teza, która łączy ten incydent z dwoma poprzednimi i czyni go czymś więcej niż pojedynczym CVE.
1 czerwca opisywaliśmy FortiClient EMS — system zarządzania bezpieczeństwem endpointów Fortinet, w którym atakujący użył funkcji zarządzania, by wypchnąć złośliwy PowerShell na wszystkie zarządzane urządzenia. Dziś Apex One — platforma ochrony endpointów Trend Micro, w której atakujący modyfikuje serwer, by wstrzyknąć kod na wszystkie agenty.
To jest ten sam wzorzec, dwa razy w jednym tygodniu, u dwóch różnych producentów oprogramowania bezpieczeństwa: centralny serwer zarządzania jako mnożnik zasięgu. Atakujący nie kompromituje stu urządzeń. Kompromituje jeden serwer zarządzania i każe mu rozdystrybuować malware na sto urządzeń — używając mechanizmu, który te urządzenia mają zaprojektowany właśnie po to, by ufać poleceniom z centrali.
Trzeci element tego wzorca pojawił się też dziś u Trend Micro: CVE-2026-34926 nie był jedyną podatnością w Apex One. Trend Micro ujawnił go razem z siedmioma innymi podatnościami agentów Apex One — ale tylko ten jeden był aktywnie eksploatowany. Wzorzec jest spójny: oprogramowanie, którego zadaniem jest chronić endpointy, samo staje się powierzchnią ataku i kanałem dystrybucji.
Pisaliśmy o tym przy DAEMON Tools i całej serii zaufanych kanałów — oficjalny kanał dystrybucji jako wektor. Ale tutaj jest poziom wyżej: kanałem jest nie instalator czy rejestr pakietów, ale sam system bezpieczeństwa, który organizacja kupiła, by się bronić. Im głębszy dostęp ma narzędzie obronne — a EDR z natury ma najgłębszy — tym cenniejszym celem się staje.
Ocena 6.7, która jest myląca — znów
Jest tu echo problemu, który opisywaliśmy dziś rano przy wycieku NTLM bez CVE: ocena severity nie oddaje rzeczywistego ryzyka.
CVE-2026-34926 ma CVSS 6.7 — medium. Powód niskiej oceny: wektor jest lokalny, złożoność wysoka, a atakujący musi już mieć poświadczenia administracyjne do serwera, zdobyte inną metodą. Na papierze to brzmi jak ograniczone ryzyko — trzeba już być w środku z uprawnieniami admina.
Ale dwie rzeczy podważają tę ocenę. Po pierwsze — mimo restrykcyjnych warunków, błąd jest aktywnie eksploatowany. TrendAI zaobserwował to w praktyce. Restrykcyjne warunki nie powstrzymały atakujących. Po drugie — skutek po spełnieniu tych warunków jest nieproporcjonalny do oceny. Lokalna podatność medium daje wstrzyknięcie kodu na każdy zarządzany endpoint w organizacji. To nie jest „lokalny" wpływ w sensie skutku — to jest lokalny tylko w sensie wektora wejścia.
CVSS mierzy trudność wejścia. Nie mierzy tego, co masz, gdy już wejdziesz. A tutaj to, co masz, to cała flota endpointów organizacji — przez narzędzie, które miało ją chronić. TechRadar ujmuje tę rozbieżność wprost: wszystko wskazuje na podatność niskiego ryzyka, a mimo to jest już eksploatowana i trafiła do KEV.
Czego nie wiadomo
Warto być precyzyjnym co do tego, czego nie wiadomo. CISA potwierdza aktywną eksploatację, ale nie ma obecnie publicznych dowodów łączących tę podatność z konkretnymi kampaniami ransomware ani grupami. „Co najmniej jedna próba" to wszystko, co Trend Micro potwierdził publicznie.
Ale natura podatności — ciche wstrzyknięcie kodu do rozproszonych agentów — czyni ją atrakcyjnym narzędziem dla operatorów ransomware i grup APT szukających szerokiego ruchu bocznego po endpointach. To jest podatność, która jeśli trafi w odpowiednie ręce, daje dokładnie to, czego szuka ransomware: jednoczesny dostęp do wszystkich maszyn w organizacji, przez zaufany kanał, który nie wzbudza alarmu.
Co zrobić
Zaktualizuj Apex One on-premise do SP1 Critical Patch Build 18012. Jeśli wgrałeś wcześniejszą łatkę CP 17079 — została wycofana i zastąpiona, sprawdź wersję.
Jeśli nie możesz załatać natychmiast: ogranicz lokalny dostęp do serwera Apex One, monitoruj nietypowe wdrożenia na agentach i nieautoryzowane zmiany w komponentach serwera. Skoro atak wymaga poświadczeń administracyjnych zdobytych inną metodą, audyt tego, kto ma dostęp administracyjny do serwera Apex One, jest sensownym krokiem równoległym.
Sprawdź logi Apex One pod kątem prób directory traversal — wzorce ze ścieżkami ../ w żądaniach do serwera.
Wersja chmurowa nie jest podatna — problem dotyczy wyłącznie wdrożeń on-premise.
Źródła
Help Net Security — potwierdzenie eksploatacji zero-day i kontekst zgłoszenia przez TrendAI: https://www.helpnetsecurity.com/2026/05/26/actively-exploited-trend-micro-apex-one-flaw-cve-2026-34926/
BleepingComputer — szczegóły mechanizmu i warunków eksploatacji: https://www.bleepingcomputer.com/news/security/trend-micro-warns-of-apex-one-zero-day-exploited-in-attacks/
Cyberpress — analiza wektora propagacji i wycofania łatki CP 17079: https://cyberpress.org/exploited-trend-micro-apex/
The Hacker News — kontekst ośmiu podatności i wpis do KEV razem z Langflow: https://thehackernews.com/2026/05/cisa-adds-exploited-langflow-and-trend.html
DailyCVE — analiza techniczna mechanizmu directory traversal i wektora CVSS: https://dailycve.com/trend-micro-apex-one-directory-traversal-cve-2026-34926-medium/
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł