作者: blogadmin

近期，兩個知名的勒索軟體集團——BianLian 與 RansomExx，被發現正在濫用 SAP NetWeaver 平台的一項重大漏洞（CVE-2025-31324），並藉此部署新型木馬程式 PipeMagic。這項發現再次證明了高價值企業應用系統（如 SAP）對進階持續性威脅（APT）組織具有高度吸引力，並且正被多方惡意勢力同時針對。

漏洞概況：CVE-2025-31324 與 PipeMagic 的關聯

根據資安公司 ReliaQuest在 5月14日發布了研究報告的更新，他們發現了來自 BianLian 勒索集團 和 RansomExx 勒索家族（微軟稱其為 Storm-2460） 的攻擊證據。研究團隊追蹤到與過往 BianLian 架構有關聯的 IP 位址，進一步證實該組織參與了至少一起事件。

報告指出，一台 IP 為 184[.]174[.]96[.]74 的伺服器正在運行由 rs64.exe 啟動的反向代理服務，該伺服器所使用的 SSL 憑證與埠號與先前 BianLian 的 C2 基礎設施相同，另一個 IP 184[.]174[.]96[.]70 也被確認由同一託管服務商管理，強化了 BianLian 涉案的可信度。

PipeMagic 木馬及零時差漏洞的攻擊鏈

值得警惕的是，ReliaQuest 發現此波攻擊不僅針對 SAP，還搭配部署了一個名為 PipeMagic 的模組化木馬程式。該木馬近期曾被用於攻擊 Windows CLFS 系統的一項權限提升漏洞（CVE-2025-29824），並已影響到美國、委內瑞拉、西班牙與沙烏地阿拉伯等國的機構。

駭客在利用 SAP NetWeaver 漏洞成功植入 web shell 後，透過這些後門傳送 PipeMagic。雖然首次嘗試部署未遂，但後續攻擊則透過 MSBuild 的 inline 任務執行功能 部署 Brute Ratel C2 管理框架，並伴隨觸發 dllhost.exe 的異常行為，明確顯示了攻擊者正在重複利用 CVE-2025-29824 的 CLFS 漏洞進行滲透。

中國駭客組織亦介入漏洞利用

就在 ReliaQuest 公布調查結果前一天，EclecticIQ 也指出，數個中國背景的 APT 組織，包括 UNC5221、UNC5174 與 CL-STA-0048，皆已針對 CVE-2025-31324 展開大規模攻擊行動，散播各式惡意程式載荷。

此外，資安業者Onapsis 證實，自 2025 年 3 月起，攻擊者已同時利用 CVE-2025-31324 及一個與其相關的物件反序列化漏洞（CVE-2025-42999）進行入侵行動。幸好，SAP 最新發布的修補程式已修正這兩項漏洞的根本原因。

專家建議：務必盡速更新修補，防止持續滲透

ReliaQuest 表示：「雖然 CVE-2025-42999 在技術上需要較高權限才能利用，但 CVE-2025-31324 卻能讓攻擊者在無驗證的狀態下獲得完整系統控制權，兩者幾乎沒有實質差異，防禦措施應相同處理。」

針對此波威脅，我們建議：

• 立即檢查並更新 SAP NetWeaver 系統至最新版本
• 監控是否有異常的 MSBuild 執行行為或 DLL 裝載情況
• 加強對反向代理與 C2 通訊的偵測規則
• 封鎖已知涉案 IP、憑證與特徵碼

結語

此次事件顯示，即使是高度專業、企業等級的應用平台如 SAP，也難以避免成為攻擊目標。尤其當多個攻擊組織同時盯上同一漏洞時，更顯示出該漏洞的高風險性質。企業與政府單位務必強化補丁管理流程，提升威脅獵捕與端點偵測反應（EDR）能力，避免成為下一個 PipeMagic 的受害者。

Fortinet 近日發布資安通告，修補一項遭到零時差攻擊利用的重大遠端程式碼執行（Remote Code Execution, RCE）漏洞，該漏洞編號為 CVE-2025-32756，影響範圍涵蓋 FortiVoice、FortiMail、FortiNDR、FortiRecorder 及 FortiCamera 等多項產品，CVSS 風險評分高達 9.6（極高）。

漏洞技術細節與攻擊行為分析

CVE-2025-32756 為一個 堆疊溢位漏洞（CWE-121），攻擊者可透過特製的 HTTP 請求，在無需身份驗證的情況下，遠端執行任意程式碼或系統命令，取得設備控制權限。

Fortinet 表示，此漏洞是由內部產品安全團隊在分析實際攻擊行為時發現。攻擊者入侵後會：

• 發動內部網路掃描
• 刪除系統崩潰紀錄（crash logs）以掩蓋入侵痕跡
• 啟用非預設的 fcgi debugging 功能，用以記錄系統或 SSH 登入嘗試時的帳號密碼
• 部署惡意軟體、設定 cron job 蒐集認證資訊
• 投放指令碼掃描整體網路結構與其他潛在攻擊目標

其中 fcgi debugging 為一項異常指標（Indicator of Compromise, IOC），若在系統上啟用，執行以下指令可進行檢查：

nginx

diag debug application fcgi

若回傳包含「general to-file ENABLED」，即表示該功能已被啟用，系統可能已遭入侵。

已知攻擊來源 IP（建議封鎖）

• 198.105.127[.]124
• 43.228.217[.]173
• 43.228.217[.]82
• 156.236.76[.]90
• 218.187.69[.]244
• 218.187.69[.]59

受影響產品與修補建議版本如下：

FortiVoice

• 6.4.x → 升級至 6.4.11 或以上
• 7.0.x → 升級至 7.0.7 或以上
• 7.2.x → 升級至 7.2.1 或以上

FortiMail

• 7.0.x → 升級至 7.0.9 或以上
• 7.2.x → 升級至 7.2.8 或以上
• 7.4.x → 升級至 7.4.5 或以上
• 7.6.x → 升級至 7.6.3 或以上

FortiNDR

• 1.1–1.5, 7.1 → 建議升級至最新修補版本
• 7.0.x → 升級至 7.0.7 或以上
• 7.2.x → 升級至 7.2.5 或以上
• 7.4.x → 升級至 7.4.8 或以上
• 7.6.x → 升級至 7.6.1 或以上

FortiRecorder

• 6.4.x → 升級至 6.4.6 或以上
• 7.0.x → 升級至 7.0.6 或以上
• 7.2.x → 升級至 7.2.4 或以上

FortiCamera

• 1.1, 2.0 → 建議遷移至已修補版本
• 2.1.x → 升級至 2.1.4 或以上

緊急緩解措施（若暫時無法修補）

對於無法即時更新修補的設備，Fortinet 建議暫時 關閉 HTTP/HTTPS 管理介面，以降低攻擊面。

關聯背景資訊

在此事件發生之前，Fortinet 曾於上月被 Shadowserver Foundation 發現，已有 超過 16,000 台暴露於網際網路的 Fortinet 設備 遭到入侵，且設置了一種新型的 symlink 後門，雖已修補但仍允許威脅者存取敏感檔案。

此外，Fortinet 亦在今年 4 月初通報另一個與 FortiSwitch 相關的重大漏洞，顯示威脅者正持續鎖定 Fortinet 各類產品作為入侵企業網路的跳板。

資安專家建議行動項目：

1. 立即修補漏洞：優先升級受影響產品至安全版本。
2. 封鎖惡意 IP：將上述攻擊來源納入防火牆黑名單。
3. 檢查入侵跡象：確認是否啟用了 fcgi debugging，並檢視系統帳號登入紀錄與可疑排程任務。
4. 強化防護策略：落實多因素驗證（MFA）、限制管理介面存取來源 IP、強化日誌監控與異常行為偵測。
5. 進行網路流量分析：觀察是否有與已知惡意 IP 通聯的異常連線。

此事件再次警示企業應強化資安態勢感知與設備防護措施，尤其針對邊界設備與管理介面之防禦應更為嚴謹。建議企業導入持續威脅偵測（EDR/NDR）、漏洞管理平台（VMS）與資安事件應變流程，以提升整體防護韌性。

美國網路安全暨基礎設施安全局（CISA）日前正式將 SAP NetWeaver 的一項高風險漏洞（CVE-2025-31324）納入其「已知遭利用漏洞（Known Exploited Vulnerabilities, KEV）」目錄中。

此漏洞於上週被研究人員揭露為一項零時差（Zero-day）漏洞，CVSS 評分達到最高的 10 分（滿分 10 分），並已確認遭到實際攻擊者利用。全球數以千計直接暴露於網際網路的 SAP 應用系統正面臨重大潛在風險。

這個漏洞存在於 SAP NetWeaver 的 Visual Composer Metadata Uploader 元件，主要是因為缺乏適當的授權檢查，導致未經驗證的攻擊者（即未持有有效憑證者）可以直接上傳惡意可執行檔至目標系統。

一旦這些檔案成功上傳並執行，攻擊者將有機會完全接管 SAP 系統環境。SAP 已於 2025 年 4 月的 Security Patch Day 中發布修補程式以修正此問題。

資安業者ReliaQuest 的研究人員在調查多起攻擊事件時發現此漏洞，其中部分案例即便系統已套用最新修補程式仍遭入侵。

「我們於 2025 年 4 月 22 日發表了針對 SAP NetWeaver 系統遭攻擊的調查報告，進而發現這個關鍵漏洞，後來被 SAP 確認為 CVE-2025-31324，嚴重性評為 10 分。」ReliaQuest 的報告指出。「原先以為是遠端檔案包含（RFI）問題，經確認後實為無限制檔案上傳（Unrestricted File Upload）漏洞，SAP 隨即發佈修補程式，我們強烈建議立即套用。」

研究人員指出，SAP 系統由於被全球政府機關與大型企業廣泛採用，因此始終是攻擊者高度鎖定的目標。ReliaQuest 在漏洞公開前，已通報 SAP 並同步部署偵測機制以強化對客戶的防護。

在實際攻擊案例中，威脅行為者透過特製的 POST 請求，利用 Metadata Uploader 上傳惡意的 JSP webshell，並使用 GET 請求進行遠端執行，藉此全面掌控目標系統。這些 webshell 多部署於同一個根目錄，具備類似功能，並重複使用來自公開 GitHub 上的遠端程式碼執行（RCE）專案代碼。

「此漏洞位於 /developmentserver/metadatauploader 端點，原設計是為 SAP NetWeaver 環境中的應用開發與配置流程處理 metadata 檔案。」報告中寫道，「但在我們調查的事件中，攻擊者藉由精心構造的 POST 請求，上傳 JSP webshell 至 j2ee/cluster/apps/sap.com/irj/servletjsp/irj/root/ 資料夾中，並透過簡單的 GET 請求執行，徹底控制系統，將此端點變成攻擊跳板。」

攻擊者所植入的 webshell（如 helper.jsp 或 cache.jsp）允許執行系統指令、上傳檔案與建立持久存取權限。有一個變種甚至結合 Brute Ratel 與 Heaven’s Gate 技術，以增強隱蔽性與操控能力，顯示這是一場針對系統全面滲透與資料竊取的高階威脅行動。

有趣的是，有些攻擊案例中，從初始入侵到後續行動之間存在數日間隔，研判攻擊者極可能是「初始存取仲介商」（Initial Access Broker），透過 VPN、RDP 或漏洞攻擊等方式獲取入侵點後，再轉售給其他威脅行為者。

「我們觀察到某次攻擊中，從取得初始存取權到進行後續操作花了數天時間，因此我們推測該攻擊者應為初始存取仲介，並透過地下論壇販售對受害組織的存取權限。」報告指出。

儘管有些受害系統已打上最新修補，攻擊行為仍成功，專家高度懷疑目前存在尚未公開的 RFI 弱點，正在被鎖定於 SAP NetWeaver 公開伺服器的攻擊中加以利用。

「根據現有證據，我們有高度信心認為此次攻擊涉及一個尚未揭露的遠端檔案包含（RFI）漏洞，目前尚無法確認是否只影響特定版本，但在多起案例中，受害伺服器都已套用最新修補。」報告補充。

根據 CISA 所發佈的《作業指令 22-01：降低已知遭利用漏洞之重大風險》（Binding Operational Directive, BOD 22-01），所有 FCEB（聯邦民營與行政單位）機構必須在指定期限前修補此類漏洞，以防遭受相關攻擊。

資安專家也強烈建議私部門機構定期檢視 KEV 清單，評估並修補企業內部基礎設施中可能存在的相關漏洞。

CISA 要求聯邦機構最遲須於 2025 年 5 月 20 日 前完成修補作業。