0-day en Apex One explotado activamente — parchea ya

Qué pasa

TrendAI (la empresa antes conocida como Trend Micro, rebrandeada recientemente) parcheó CVE-2026-34926, un 0-day explotado activamente en su producto de seguridad para endpoints corporativos, Apex One. El fallo es un *directory traversal* (técnica de ataque que permite salir del directorio raíz de una aplicación y acceder a archivos arbitrarios del sistema de ficheros del servidor), presente en la versión on-premise del producto.

Explotación activa significa que actores maliciosos ya lo usaban antes de que existiera parche. TrendAI confirmó el uso en campo y publicó un hotfix. No hay CVSS oficial publicado aún. La combinación de 0-day + explotación confirmada en campo + software de seguridad enterprise lo convierte en prioridad máxima de parcheo, sin excepciones.

El fallo no afecta a Apex One SaaS. Solo a las instalaciones on-premise — despliegues auto-gestionados en infraestructura propia.

Por qué importa

Apex One es un EDR (herramienta que monitoriza y responde a amenazas en endpoints corporativos: portátiles, servidores, máquinas virtuales) ampliamente desplegado en entornos enterprise. Que el propio software de defensa tenga un 0-day explotado activamente es especialmente crítico: un atacante que compromete el agente puede desactivar protecciones, exfiltrar telemetría de seguridad o moverse lateralmente por la red sin disparar ninguna alerta.

Un *directory traversal* en este contexto puede exponer ficheros de configuración con credenciales, certificados o tokens de API del propio agente Apex One. En algunos casos, estos fallos derivan en RCE (ejecución remota de código — el atacante hace correr lo que quiera en el servidor), especialmente cuando el traversal se combina con una operación de escritura sobre el servidor.

El patrón se repite: SolarWinds, CrowdStrike, y ahora este. Las soluciones de seguridad corren con privilegios elevados y acceso total al sistema de ficheros. Son el objetivo ideal para cualquier APT (grupo de hackers patrocinado por un estado o con recursos avanzados) que quiera establecer persistencia silenciosa en una red corporativa.

Qué hacer

• Aplica el hotfix de TrendAI para Apex One on-premise ahora. No esperes al ciclo de parcheo mensual.
• Revisa logs HTTP del servidor Apex One buscando peticiones con `../` o `%2e%2e%2f` en la ruta — son indicadores directos de intento de *directory traversal*.
• Restringe el acceso al panel de administración de Apex One solo a redes confiables (VPN o segmento de gestión) mientras validas el parcheo.
• Audita si el proceso de Apex One tiene acceso de escritura a rutas críticas del sistema — reduce la superficie si la implementación lo permite.

Que el vector sea la propia herramienta de defensa no es un accidente. Es la lógica del atacante: si comprometes el escudo, el resto es movimiento lateral sin ruido.