בסוף מאי 2026 חשפה Trend Micro פגיעות המנוצלת בפועל בפלטפורמת Apex One — כלי האבטחה המרכזי שמגן על תחנות הקצה של אלפי ארגונים. הפגיעות עוקבת כ-CVE-2026-34926 וקיבלה ציון CVSS של 6.7. ה-CISA הוסיפה אותה לרשימת הפגיעויות המנוצלות בפועל (KEV) והורתה לסוכנויות פדרליות לתקן עד 4 ביוני 2026.
מה שהופך את המקרה הזה למורכב: מדובר בפגיעות בכלי האבטחה עצמו. כשמישהו מצליח לנצל אותה, הוא לא רק פורץ למערכת — הוא משתלט על מנגנון העדכונים שדוחף תוכן לכל תחנות הקצה בארגון.
מה בדיוק הפגיעות עושה?
CVE-2026-34926 היא פגיעות directory traversal בשרת Apex One המותקן on-premise. תוקף עם גישה לשרת Apex One ועם אישורי מנהל (שהשיג בדרך אחרת) יכול לשנות טבלת מפתחות בשרת ולהזריק קוד זדוני. אותו קוד נדחף אוטומטית דרך מנגנוני העדכון הרגילים לכל ה-agents המנוהלים בארגון.
בפועל זה אומר: שרת אחד שנפרץ = כל תחנות הקצה בארגון נדבקות. בדיוק כמו שרשרת אספקה פנימית.
מי מושפע?
הפגיעות רלוונטית רק לגרסאות Apex One המותקנות on-premise — לא לגרסת ה-SaaS. הגרסאות הפגיעות הן Apex One 2019 עם agent builds מתחת ל-17079 וגרסאות שרת מתחת ל-SP1 Critical Patch Build 18012. Trend Micro פרסמה תיקון ב-21 במאי 2026.
בנוסף לפגיעות המרכזית, אותו עדכון מאי כלל שבע פגיעויות נוספות ב-Apex One ו-Vision One Endpoint Security, חלקן עם ציון CVSS של 7.8.
מה עושים?
לארגונים שמשתמשים ב-Apex One on-premise: עדכנו לגרסה SP1 Critical Patch Build 18012 (שרת) ו-agent build 17079 ומעלה. אם עדיין לא עדכנתם, בדקו מיד אם יש חריגות בפרופיל הthreat של ה-agents וסקרו לוגים מאז סוף מאי.
לארגונים שמשתמשים ב-Apex One as a Service או Vision One SEP: הצד השרתי תוקן כבר על ידי Trend Micro. נדרש עדכון ה-agents בלבד.
בכל מקרה: הגבילו גישה לשרת ניהול ה-endpoint security לרשת פנימית בלבד. שרת שחשוף לאינטרנט הוא נקודת כניסה מושלמת לתוקפים.
הקשר הרחב: כלי אבטחה כנקודת תורפה
CVE-2026-34926 מהווה דוגמה לטרנד מדאיג: תוקפים מכוונים יותר ויותר לכלי האבטחה עצמם. הגיון פשוט — אם פורצים לכלי שמנהל את כל תחנות הקצה, הסיבוב הבא הוא השתלטות על כל הארגון עם כלים לגיטימיים ומהימנים. ראינו את אותו הדפוס עם מתקפות שרשרת אספקה על כלי פיתוח.
יש לכם שאלות לגבי מצב Apex One בארגון שלכם? צרו איתנו קשר.