Trend Micro Apex Central e VMware ESXi sono finiti al centro di un’ondata di allarmi di sicurezza che riguarda direttamente ambienti enterprise critici, con vulnerabilità ad alto impatto capaci di portare a esecuzione di codice remota, denial-of-service e persino escape dall’hypervisor. Le analisi congiunte di Trend Micro, Huntress e dei ricercatori che hanno seguito i casi mostrano un quadro preoccupante: toolkit modulari, sfruttamento prolungato nel tempo e patch applicate con mesi di ritardo in molte infrastrutture reali.
Cosa leggere
Le vulnerabilità in Trend Micro Apex Central
Il caso più grave riguarda Trend Micro Apex Central on-premise per Windows, dove è stata identificata una vulnerabilità critica tracciata come CVE-2025-69258 con CVSS 9.8. Il difetto consente a un attaccante remoto non autenticato di ottenere esecuzione di codice arbitrario con privilegi SYSTEM, portando di fatto alla compromissione completa del server di gestione della sicurezza.
La vulnerabilità risiede nel componente MsgReceiver.exe, in ascolto sulla porta TCP 20001. Inviando un messaggio artigianale 0x0a8d, l’attaccante forza il processo a caricare una DLL controllata esternamente tramite LoadLibraryEx, eseguendo codice con il massimo livello di privilegio. In un contesto enterprise, questo significa poter disattivare protezioni endpoint, muoversi lateralmente e persistire senza ostacoli.
Trend Micro ha classificato il problema come riconducibile alle categorie CWE-1285 e CWE-306, confermando l’assenza di controlli di autenticazione e validazione adeguata dei messaggi IPC. La scoperta è attribuita a Tenable, che ha segnalato la vulnerabilità nell’agosto 2025, evidenziando una finestra di esposizione significativa prima della disponibilità della patch.
Denial-of-service multipli in Apex Central
Accanto alla RCE critica, Trend Micro ha corretto anche due vulnerabilità di tipo denial-of-service, identificate come CVE-2025-69259 e CVE-2025-69260, entrambe con CVSS 7.5 e classificate come HIGH.
🔴 OSSERVATORIO INTELLIGENCE: APT & GEOPOLITICA LIVE
La CVE-2025-69259 consente a un attaccante remoto di causare un crash del servizio inviando il messaggio 0x1b5b a MsgReceiver.exe, sfruttando un unchecked NULL return value. La CVE-2025-69260 riguarda invece una condizione di out-of-bounds read, anch’essa in grado di interrompere il funzionamento del servizio tramite input malevolo.
Sebbene non consentano direttamente esecuzione di codice, queste vulnerabilità permettono interruzioni operative, con impatti potenzialmente gravi su SOC, NOC e infrastrutture di gestione centralizzata della sicurezza.
Trend Micro ha rilasciato la Critical Patch Build 7190, che risolve tutte e tre le vulnerabilità, raccomandando l’aggiornamento immediato per tutte le installazioni precedenti alla build 7190, in particolare su sistemi Windows in lingua inglese, che risultano esplicitamente colpiti.
Le vulnerabilità zero-day in VMware ESXi
Parallelamente, VMware ESXi è stato interessato da una delle catene di exploit più gravi degli ultimi anni nel mondo della virtualizzazione. Gli analisti di Huntress hanno documentato lo sfruttamento attivo di tre vulnerabilità concatenate — CVE-2025-22224, CVE-2025-22225 e CVE-2025-22226 — capaci di portare a una VM escape completa e all’esecuzione di codice a livello di kernel sull’hypervisor.
Le vulnerabilità colpiscono componenti fondamentali di ESXi. CVE-2025-22226 riguarda un out-of-bounds read nel modulo HGFS, che consente di leakare memoria dal processo VMX. CVE-2025-22224 sfrutta una condizione TOCTOU nel modulo VMCI, permettendo out-of-bounds write ed esecuzione di codice nel contesto VMX con CVSS 9.3. CVE-2025-22225 consente infine una arbitrary write che rompe l’isolamento del sandbox VMX e porta l’attaccante direttamente nel kernel dell’hypervisor.
Questa catena rappresenta uno scenario di worst-case per ambienti virtualizzati: una volta ottenuto l’accesso all’hypervisor, tutte le macchine virtuali diventano implicitamente compromesse.
Timeline di sfruttamento e attori coinvolti
Uno degli elementi più critici emersi dall’analisi di Huntress è la timeline di sfruttamento estremamente lunga. I toolkit analizzati indicano attività già dal febbraio 2024, con binari che contengono riferimenti PDB come 2024_02_19 e 2023_11_02, suggerendo sviluppo e test degli exploit già nel 2023.
Le patch ufficiali sono state rilasciate da Broadcom — oggi responsabile di VMware — solo nel marzo 2025, lasciando una finestra di oltre un anno di sfruttamento potenziale. Secondo Huntress, gli attacchi osservati coinvolgono attori cinesi, che ottengono l’accesso iniziale compromettendo appliance VPN SonicWall, per poi effettuare pivot verso domain controller, escalation a Domain Admin e infine attacco diretto a ESXi.
I toolkit analizzati includono componenti come MAESTRO, MyDriver.sys per l’esecuzione kernel, VSOCKpuppet come backdoor ELF su ESXi e GetShell come client di controllo da Windows. La presenza di stringhe in cinese semplificato e directory come 全版本逃逸–交付 rafforza l’attribuzione a operatori strutturati e con finalità di accesso persistente e vendita del toolkit.
Impatto sugli ambienti enterprise
La combinazione di RCE non autenticata in Trend Micro Apex Central e VM escape su VMware ESXi rappresenta un rischio sistemico per le infrastrutture enterprise. Nel primo caso, viene colpito il cuore della gestione della sicurezza endpoint; nel secondo, il livello di isolamento su cui si basano interi data center virtualizzati.
Sistemi non patchati restano esposti a furto di dati, persistenza stealth, movimenti laterali su larga scala e compromissione completa delle infrastrutture virtuali. La presenza di toolkit modulari riutilizzabili indica inoltre che queste tecniche potrebbero essere adottate rapidamente da altri gruppi.
Mitigazioni e raccomandazioni operative
Trend Micro raccomanda l’aggiornamento immediato alla Build 7190, accompagnato da una revisione degli accessi remoti, del perimetro di rete e del monitoraggio dei servizi in ascolto. Huntress, dal canto suo, fornisce regole YARA e Sigma per identificare indicatori di compromissione legati ai toolkit ESXi, suggerendo attività di threat hunting proattivo anche in ambienti già patchati.
Broadcom ribadisce la necessità di applicare tutti gli aggiornamenti ESXi rilasciati da marzo 2025, verificando in particolare le versioni 8.0 Update 3, che risultano esplicitamente target degli exploit osservati. L’evoluzione delle minacce osservata in questi casi conferma come le vulnerabilità infrastrutturali non sfruttate immediatamente restino armi attive per mesi o anni, rendendo la gestione delle patch non più una best practice, ma un requisito di sopravvivenza operativa.
Domande frequenti su vulnerabilità Trend Micro e VMware ESXi
Chi è maggiormente a rischio per la vulnerabilità CVE-2025-69258?
Sono maggiormente a rischio le organizzazioni che utilizzano Trend Micro Apex Central on-premise per Windows con versioni precedenti alla Build 7190, soprattutto se il server è raggiungibile in rete senza adeguate restrizioni perimetrali.
Le vulnerabilità VMware ESXi richiedono accesso amministrativo iniziale?
Sì, gli exploit osservati richiedono accesso amministrativo a una macchina virtuale o credenziali elevate ottenute tramite compromissioni precedenti, come VPN o domain controller, ma una volta avviata la chain consentono escape completo dall’hypervisor.
Le patch di marzo 2025 per ESXi sono sufficienti?
Chi è maggiormente a rischio per la vulnerabilità CVE-2025-69258?
Sono maggiormente a rischio le organizzazioni che utilizzano Trend Micro Apex Central on-premise per Windows con versioni precedenti alla Build 7190, soprattutto se il server è raggiungibile in rete senza adeguate restrizioni perimetrali.
Le vulnerabilità VMware ESXi richiedono accesso amministrativo iniziale?
Sì, gli exploit osservati richiedono accesso amministrativo a una macchina virtuale o credenziali elevate ottenute tramite compromissioni precedenti, come VPN o domain controller, ma una volta avviata la chain consentono escape completo dall’hypervisor.
È possibile rilevare questi attacchi prima dell’impatto?
Sì, utilizzando regole YARA e Sigma, monitorando comportamenti anomali su VMX, HGFS e VMCI, e analizzando indicatori di compromissione forniti da Huntress. Tuttavia, la prevenzione più efficace resta l’applicazione tempestiva delle patch.
