Trend Micro corrige zero-day crítico en Apex One explotado activamente

Trend Micro ha publicado actualizaciones de seguridad urgentes para corregir una vulnerabilidad zero-day crítica en Trend Micro Apex One que ya está siendo explotada activamente en ataques dirigidos contra sistemas Windows.

La falla, identificada como CVE-2026-34926, afecta específicamente a la versión local (on-premise) de Apex One y podría permitir a atacantes con privilegios administrativos inyectar código malicioso en servidores comprometidos y distribuirlo posteriormente a múltiples agentes de seguridad desplegados dentro de la infraestructura empresarial.

El incidente vuelve a poner en el centro de atención los riesgos asociados a las plataformas de protección de endpoints y demuestra cómo incluso soluciones de seguridad corporativa pueden convertirse en objetivos prioritarios para actores de amenazas avanzadas.

¿Qué es Trend Micro Apex One y por qué es importante?

Trend Micro Apex One es una plataforma de seguridad de endpoints ampliamente utilizada en entornos corporativos y gubernamentales.

La solución ofrece protección avanzada contra múltiples amenazas cibernéticas, incluyendo:

• Malware avanzado
• Ransomware
• Ataques sin archivos (fileless attacks)
• Amenazas web
• Explotación de vulnerabilidades
• Ataques dirigidos

Debido a su integración profunda dentro de redes empresariales, cualquier vulnerabilidad crítica en Apex One representa un riesgo significativo para organizaciones que dependen de esta tecnología para proteger activos críticos.

CVE-2026-34926: vulnerabilidad zero-day de recorrido de directorios

La vulnerabilidad zero-day rastreada como CVE-2026-34926 corresponde a un fallo de Path Traversal o recorrido de directorios dentro del servidor Apex One local.

Según explicó Trend Micro, un atacante con acceso administrativo al servidor puede modificar una tabla de claves interna para inyectar código malicioso que posteriormente será desplegado hacia los agentes instalados en sistemas afectados.

La compañía detalló que:

Citar"Una vulnerabilidad de recorrido de directorios en el servidor Apex One (local) podría permitir que un atacante local preautenticado modifique una tabla de claves en el servidor para inyectar código malicioso que se despliegue a agentes en las instalaciones afectadas".

Aunque la explotación requiere acceso previo y privilegios administrativos, la naturaleza centralizada de Apex One convierte esta falla en una amenaza extremadamente peligrosa para entornos empresariales.

Ataques reales ya explotan la vulnerabilidad zero-day

Uno de los aspectos más alarmantes del incidente es que la vulnerabilidad ya fue utilizada en ataques reales antes de la publicación de los parches.

Trend Micro confirmó que sus sistemas de inteligencia de amenazas TrendAI detectaron al menos un intento activo de explotación en la naturaleza.

Esto convierte oficialmente a CVE-2026-34926 en una vulnerabilidad zero-day explotada activamente, elevando significativamente el nivel de riesgo para organizaciones que aún no han aplicado las actualizaciones de seguridad.

Las vulnerabilidades de este tipo suelen ser utilizadas por grupos APT, operadores de ransomware y actores patrocinados por Estados para comprometer infraestructuras corporativas críticas.

CISA ordena a agencias federales actualizar antes del 4 de junio

La gravedad de la vulnerabilidad llevó a la Cybersecurity and Infrastructure Security Agency a añadir CVE-2026-34926 a su catálogo de Vulnerabilidades Explotadas Activamente (KEV).

Como parte de la directiva federal, CISA ordenó a las agencias gubernamentales estadounidenses aplicar los parches de seguridad antes del próximo 4 de junio.

CitarLa agencia advirtió que:

"Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y suponen riesgos significativos para la empresa federal".

Además, recomendó seguir las mitigaciones proporcionadas por el fabricante o suspender temporalmente el uso del producto en caso de no poder implementar correcciones de seguridad inmediatas.

La inclusión en el catálogo KEV suele considerarse un fuerte indicador de explotación activa y alta peligrosidad.

Trend Micro también corrige siete fallos de escalada de privilegios

Además del zero-day principal, Trend Micro lanzó actualizaciones adicionales para solucionar siete vulnerabilidades locales de escalada de privilegios en el agente Apex One Standard Endpoint Protection (SEP).

Estas fallas podrían permitir a atacantes ejecutar operaciones privilegiadas si previamente logran ejecutar código de bajo privilegio en sistemas objetivo.

Aunque estas vulnerabilidades requieren acceso inicial al dispositivo, siguen representando un riesgo importante en escenarios posteriores a la intrusión, especialmente en ataques avanzados de movimiento lateral dentro de redes corporativas.

Trend Micro Apex One ha sido objetivo recurrente de ataques

Los productos Apex One de Trend Micro han sido atacados repetidamente en los últimos años mediante campañas que explotan vulnerabilidades críticas y zero-days.

En agosto de 2025, la empresa corrigió la vulnerabilidad crítica CVE-2025-54948, una falla de ejecución remota de código (RCE) explotada activamente en ataques reales.

Asimismo, en septiembre de 2022 y septiembre de 2023, la compañía abordó otros dos zero-days de Apex One identificados como:

• CVE-2022-40139
• CVE-2023-41179

Ambas vulnerabilidades también fueron explotadas antes de la disponibilidad de parches.

Actualmente, la Cybersecurity and Infrastructure Security Agency rastrea al menos 12 vulnerabilidades relacionadas con productos Trend Micro Apex que han sido utilizadas en ataques activos.

Riesgos para empresas y organizaciones

Las plataformas EDR y de protección de endpoints como Apex One poseen acceso privilegiado dentro de infraestructuras empresariales, lo que las convierte en objetivos extremadamente valiosos para ciberdelincuentes.

Si un atacante logra comprometer el servidor central de administración, puede obtener capacidades para:

• Distribuir malware a múltiples dispositivos
• Desactivar protecciones de seguridad
• Robar información sensible
• Ejecutar ransomware a gran escala
• Mantener persistencia dentro de la red

Precisamente por ello, las vulnerabilidades en soluciones de seguridad suelen recibir máxima prioridad por parte de agencias gubernamentales y equipos de respuesta ante incidentes.

Recomendaciones urgentes para administradores de TI

Los expertos en ciberseguridad recomiendan a las organizaciones afectadas tomar medidas inmediatas para minimizar riesgos asociados a CVE-2026-34926.

Entre las principales acciones recomendadas destacan:

• Aplicar inmediatamente los parches publicados por Trend Micro.
• Restringir accesos administrativos al servidor Apex One.
• Supervisar actividad sospechosa y logs del sistema.
• Implementar segmentación de red para servidores críticos.
• Revisar credenciales administrativas comprometidas.
• Habilitar autenticación multifactor (MFA).
• Realizar análisis forenses si existen indicios de intrusión.

La explotación activa de vulnerabilidades zero-day continúa representando una de las amenazas más críticas para organizaciones modernas, especialmente cuando afecta plataformas de seguridad con amplios privilegios dentro de redes corporativas.

El nuevo incidente de Trend Micro confirma que los productos de ciberseguridad siguen siendo un objetivo prioritario para actores maliciosos avanzados que buscan maximizar el impacto de sus operaciones ofensivas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login