SAP於4月下旬緊急修補已被用於實際攻擊的滿分漏洞CVE-2025-31324,自一週前有資安業者指出有中國駭客4月底掃描存在漏洞的NetWeaver伺服器後,如今有更多調查結果出爐,至少有5組人馬加入利用漏洞的行列。
值得留意的是,利用這項漏洞的不光是國家級駭客,以牟取經濟利益為導向的勒索軟體駭客也參與其中,因此這項漏洞的後續情勢仍相當值得留意。
【攻擊與威脅】
中國駭客、勒索軟體駭客加入利用SAP NetWeaver滿分漏洞的行列
4月24日SAP緊急修補應用程式伺服器NetWeaver重大層級漏洞CVE-2025-31324,由於這項漏洞發現的時候已被用於攻擊NetWeaver,再加上危險程度達到滿分10分,後續的動態引起許多研究人員關注,在5月13日SAP修補駭客利用的另一項漏洞CVE-2025-42999(CVSS風險為9.1分)之後,資安業者EclecticIQ、ReliaQuest指出,有更多駭客組織將其用於攻擊行動。
威脅情報業者EclecticIQ指出,他們確認有3組中國駭客在利用CVE-2025-31324從事攻擊行動,而且,這些駭客與中國國家安全部(MSS)有關,分別被稱為CL-STA-0048、UNC5221,以及UNC5174。而這是在資安業者Forescout揭露之後,再有研究人員點名中國駭客組織的情況。
除了國家級駭客利用CVE-2025-31324,也有勒索軟體駭客加入的情形。資安業者ReliaQuest指出,俄羅斯勒索軟體駭客「變臉(BianLian)」與另一個勒索軟體家族RansomEXX,將這項漏洞用於實際攻擊行動。
APT28利用郵件系統漏洞從事網路間諜活動,鎖定政府機關竊取重要資料
駭客盯上電子郵件伺服器長時間未修補已知漏洞的情況,從過往針對微軟Exchange為主,最近3到4年逐漸針對Roundcube、Zimbra等郵件伺服器而來,雖然多半使用已知漏洞來達到目的,但也有利用零時差漏洞的情況。
例如,資安業者ESET揭露名為Operation RoundPress的攻擊行動,就是典型的例子。被稱為APT28、Fancy Bear、Forest Blizzard、Strontium的俄羅斯駭客組織,藉由電子郵件系統的跨網站指令碼(XSS)漏洞,於網頁介面注入惡意JavaScript指令碼SpyPress,針對政府機關與國防相關的公司而來,透過惡意酬載竊取帳密,然後從使用者的信箱挖掘電子郵件及聯絡人資料。
而對於駭客鎖定的郵件伺服器系統,ESET指出,2023年這些駭客的主要目標是Roundcube,但2024年他們轉換標的,聚焦其他郵件伺服器平臺,包含Zimbra、Horde、MDaemon。以MDaemon為例,駭客特別使用尚未公開的零時差漏洞CVE-2024-11182(CVSS風險為5.3分)來達到目的。
美國加密貨幣交易平臺Coinbase部分客戶資料外洩,疑內賊所為
美國最大加密貨幣交易平臺Coinbase周四(5月15日)揭露,該公司在海外的客戶支援約聘人員或員工遭到惡意人士的賄賂,擅自進入系統盜走客戶資料,誘導客戶轉帳,還企圖向Coinbase勒索2,000萬美元。Coinbase已開除這些約聘人員,退款予受到詐騙的用戶,並拒絕支付贖金,並以贖金金額作為懸賞惡意人士的獎金。事件曝光後,當天Coinbase股價下滑了7.2%,跌至244.44美元。
根據Coinbase向給證券交易委員會(SEC)通報的文件指出,該公司是在數月以前察覺,有約聘人員在沒有業務需求的狀況下存取內部系統,該公司接著在5月11日收到勒索信件,對方宣稱已獲得某些Coinbase客戶帳戶的資料,以及Coinbase的內部文件,要求Coinbase支付2,000萬美元的贖金,否則就要對外公開此事。
其他攻擊與威脅
◆惡意程式載入工具TransferLoader被用於散布勒索軟體
◆殭屍網路HTTPBot鎖定Windows裝置而來,綁架玩家電腦從事DDoS攻擊
◆竊資軟體DarkCloud透過RAR壓縮檔散布,濫用AutoIT指令碼從事攻擊
【漏洞與修補】
Google發布Chrome 136緊急更新,修補已遭利用的零時差漏洞
5月14日Google發布電腦版Chrome更新136.0.7103.113、136.0.7103.113.114,修補已遭利用的零時差漏洞CVE-2025-4664,15日美國網路安全暨基礎設施安全局(CISA)將此漏洞加入已遭利用的漏洞列表(KEV),要求聯邦機構在6月5日完成修補。
對於這項漏洞發生的原因,Google僅表示是Loader元件的政策執行不夠充分,並將其危險程度評為高風險層級。但原始公布這項弱點的Solidlab資安研究員slonser透露,起因是Chrome在請求子資源(subresource)的過程裡,會解析連結的標頭,一旦攻擊者在標頭設置了參考的政策,就有機會利用不安全的URI截取完整的查詢參數,而有可能因此洩露敏感資料。研究人員指出,若是在執行OAuth身分驗證的流程裡,攻擊者可從中挾持帳號。
值得留意的是,雖然CISA評估此漏洞的風險值僅有4.3分,但由於已有攻擊出現,用戶還是應儘速套用更新因應。
其他漏洞與修補
◆Intel、AMD、Arm發布5月例行更新,緩解可被用於發動Spectre-BTI攻擊的弱點
◆Fortinet針對防火牆、網頁安全閘道、網路設備管理系統發布更新,修補重大層級TACACS+身分驗證繞過漏洞
【資安產業動態】
5月13日歐盟網路安全管理署(European Union Agency for Cybersecurity,ENISA)宣布,歐盟漏洞資料庫(European Vulnerability Database,EUVD)正式上線,這是一個互連資料庫,目標是確保來自不同來源的公開漏洞資訊得以互通,同時採用CVE(常見漏洞披露)編號與EUVD編號,外界則普遍視為美國CVE資料的替代方案。
最近漏洞資料庫特別受到矚目,是因為原本受到全球仰賴的CVE資料庫一度傳出可能停擺的消息,但EUVD其實是ENISA在去年6月,根據歐盟第二版網路與資訊安全指令(NIS2)的要求開始打造,直到後來CVE傳出疑似不穩定的徵兆便加快腳步,於今年4月進行封閉測試。
EUVD提供3種檢視儀表板,分別是:CVSS風險評分超過9分的重大漏洞、已被利用的安全漏洞,以及經由EU CSIRT協調的安全漏洞。
近期資安日報
【5月15日】去年中國駭客攻擊臺灣無人機製造商事故,有新的重大發現
【5月14日】微軟、SAP修補已出現攻擊行動的多項零時差漏洞
【5月13日】華碩修補主機板驅動程式管理工具驗證不當的資安漏洞
【漏洞與修補】
Fortinet修補已遭利用的企業電話系統FortiVoice零時差漏洞
資安業者Fortinet發布資安公告,揭露重大層級漏洞CVE-2025-32756,這項漏洞存在於企業電話系統FortiVoice、郵件安全閘道FortiMail、網路偵測與回應系統FortiNDR、視訊監控平臺FortiRecorder,以及網路攝影機FortiCamera等多項解決方案。值得留意的是,Fortinet提及這項漏洞已有攻擊者實際針對FortiVoice利用的情況,呼籲IT人員儘速套用相關更新。
這項漏洞為記憶體堆疊緩衝區溢位漏洞,攻擊者可藉由特製的HTTP請求,在未經授權的情況下,遠端於目標系統執行任意程式碼或是命令,CVSS風險評分介於9.6至9.8,相當危險。
值得留意的是,由於這項漏洞影響的範圍相當廣泛,若是IT人員無法及時修補,Fortinet建議要暫時停用HTTP或HTTPS管理介面來因應。