L’entreprise japonaise de cybersécurité Trend Micro a corrigé une faille zero-day qui touche son produit Apex One et qui a été exploitée lors d’attaques sur des systèmes Windows.
Apex One est la plateforme de sécurité pour terminaux de Trend Micro, qui est destinée aux entreprises. Elle protège les réseaux d’entreprise contre de nombreuses menaces, comme les logiciels malveillants, les rançongiciels, les attaques sans fichier et les menaces basées sur le web.
Cette vulnérabilité, identifiée sous le code CVE-2026-34926, est une faille de traversal de répertoire dans le serveur Apex One en version locale. Elle permet à des attaquants locaux qui disposent de privilèges d’administrateur d’injecter du code malveillant.
Dans un communiqué publié jeudi, Trend Micro a expliqué qu’une faille de traversal de répertoire dans le serveur Apex One en version sur site pourrait permettre à un attaquant local, et ce avant même une authentification, de modifier une table clé sur le serveur. Cela lui permet d’injecter du code malveillant pour le déployer sur les agents des installations touchées.
L’entreprise a précisé que cette vulnérabilité n’était exploitable que sur la version locale d’Apex One. Un attaquant potentiel doit avoir accès au serveur Apex One et il doit aussi avoir obtenu au préalable des identifiants administratifs pour ce serveur par une autre méthode afin de pouvoir exploiter cette faille.
Malgré ces conditions restrictives pour une exploitation réussie, la société a averti que son système TrendAI avait détecté au moins une tentative d’exploitation de cette vulnérabilité dans la nature.
Les agences fédérales doivent appliquer le correctif en trois semaines
La veille, l’Agence américaine de sécurité des infrastructures et de la cybersécurité, la CISA, a ajouté la CVE-2026-34926 à sa liste des vulnérabilités exploitées activement. Elle a donné l’ordre aux agences fédérales de corriger leurs appareils avant le 4 juin.
La CISA a averti que ces types de vulnérabilités étaient des vecteurs d’attaque fréquents pour les acteurs malveillants et qu’ils représentaient des risques importants pour le parc fédéral. Elle a demandé d’appliquer les mesures d’atténuation selon les instructions du fournisseur, de suivre les directives applicables de la BOD 22-01 pour les services cloud, ou de cesser d’utiliser le produit si aucune mesure d’atténuation n’était disponible.
Jeudi, Trend Micro a aussi publié des mises à jour de sécurité pour corriger sept vulnérabilités d’élévation de privilèges locales dans l’agent Apex One Standard Endpoint Protection (SEP). Des attaquants peuvent exploiter ces failles s’ils ont la permission d’exécuter du code à faible privilège sur le système cible.
Ces dernières années, les acteurs de la menace ont souvent ciblé des failles dans Trend Micro Apex One, et ils l’ont souvent fait avec des attaques zero-day.
Par exemple, en août 2025, Trend Micro avait alerté sur un bug d’exécution de code à distance dans Apex One qui était exploité activement. Il portait le code CVE-2025-54948. L’entreprise avait aussi corrigé deux autres zero-days d’Apex One qui étaient exploités dans la nature, l’un en septembre 2022 (CVE-2022-40139) et l’autre en septembre 2023 (CVE-2023-41179).
Actuellement, la CISA suit douze vulnérabilités de Trend Micro Apex qui ont été ou qui sont encore exploitées dans des attaques.