標籤: Patch

近期，兩個知名的勒索軟體集團——BianLian 與 RansomExx，被發現正在濫用 SAP NetWeaver 平台的一項重大漏洞（CVE-2025-31324），並藉此部署新型木馬程式 PipeMagic。這項發現再次證明了高價值企業應用系統（如 SAP）對進階持續性威脅（APT）組織具有高度吸引力，並且正被多方惡意勢力同時針對。

---

漏洞概況：CVE-2025-31324 與 PipeMagic 的關聯

根據資安公司 ReliaQuest在 5月14日發布了研究報告的更新，他們發現了來自 BianLian 勒索集團 和 RansomExx 勒索家族（微軟稱其為 Storm-2460） 的攻擊證據。研究團隊追蹤到與過往 BianLian 架構有關聯的 IP 位址，進一步證實該組織參與了至少一起事件。

報告指出，一台 IP 為 184[.]174[.]96[.]74 的伺服器正在運行由 rs64.exe 啟動的反向代理服務，該伺服器所使用的 SSL 憑證與埠號與先前 BianLian 的 C2 基礎設施相同，另一個 IP 184[.]174[.]96[.]70 也被確認由同一託管服務商管理，強化了 BianLian 涉案的可信度。

---

PipeMagic 木馬及零時差漏洞的攻擊鏈

值得警惕的是，ReliaQuest 發現此波攻擊不僅針對 SAP，還搭配部署了一個名為 PipeMagic 的模組化木馬程式。該木馬近期曾被用於攻擊 Windows CLFS 系統的一項權限提升漏洞（CVE-2025-29824），並已影響到美國、委內瑞拉、西班牙與沙烏地阿拉伯等國的機構。

駭客在利用 SAP NetWeaver 漏洞成功植入 web shell 後，透過這些後門傳送 PipeMagic。雖然首次嘗試部署未遂，但後續攻擊則透過 MSBuild 的 inline 任務執行功能 部署 Brute Ratel C2 管理框架，並伴隨觸發 dllhost.exe 的異常行為，明確顯示了攻擊者正在重複利用 CVE-2025-29824 的 CLFS 漏洞進行滲透。

---

中國駭客組織亦介入漏洞利用

就在 ReliaQuest 公布調查結果前一天，EclecticIQ 也指出，數個中國背景的 APT 組織，包括 UNC5221、UNC5174 與 CL-STA-0048，皆已針對 CVE-2025-31324 展開大規模攻擊行動，散播各式惡意程式載荷。

此外，資安業者Onapsis 證實，自 2025 年 3 月起，攻擊者已同時利用 CVE-2025-31324 及一個與其相關的物件反序列化漏洞（CVE-2025-42999）進行入侵行動。幸好，SAP 最新發布的修補程式已修正這兩項漏洞的根本原因。

---

專家建議：務必盡速更新修補，防止持續滲透

ReliaQuest 表示：「雖然 CVE-2025-42999 在技術上需要較高權限才能利用，但 CVE-2025-31324 卻能讓攻擊者在無驗證的狀態下獲得完整系統控制權，兩者幾乎沒有實質差異，防禦措施應相同處理。」

針對此波威脅，我們建議：

• 立即檢查並更新 SAP NetWeaver 系統至最新版本
• 監控是否有異常的 MSBuild 執行行為或 DLL 裝載情況
• 加強對反向代理與 C2 通訊的偵測規則
• 封鎖已知涉案 IP、憑證與特徵碼

---

結語

此次事件顯示，即使是高度專業、企業等級的應用平台如 SAP，也難以避免成為攻擊目標。尤其當多個攻擊組織同時盯上同一漏洞時，更顯示出該漏洞的高風險性質。企業與政府單位務必強化補丁管理流程，提升威脅獵捕與端點偵測反應（EDR）能力，避免成為下一個 PipeMagic 的受害者。

Fortinet 近日發布資安通告，修補一項遭到零時差攻擊利用的重大遠端程式碼執行（Remote Code Execution, RCE）漏洞，該漏洞編號為 CVE-2025-32756，影響範圍涵蓋 FortiVoice、FortiMail、FortiNDR、FortiRecorder 及 FortiCamera 等多項產品，CVSS 風險評分高達 9.6（極高）。

漏洞技術細節與攻擊行為分析

CVE-2025-32756 為一個 堆疊溢位漏洞（CWE-121），攻擊者可透過特製的 HTTP 請求，在無需身份驗證的情況下，遠端執行任意程式碼或系統命令，取得設備控制權限。

Fortinet 表示，此漏洞是由內部產品安全團隊在分析實際攻擊行為時發現。攻擊者入侵後會：

• 發動內部網路掃描
• 刪除系統崩潰紀錄（crash logs）以掩蓋入侵痕跡
• 啟用非預設的 fcgi debugging 功能，用以記錄系統或 SSH 登入嘗試時的帳號密碼
• 部署惡意軟體、設定 cron job 蒐集認證資訊
• 投放指令碼掃描整體網路結構與其他潛在攻擊目標

其中 fcgi debugging 為一項異常指標（Indicator of Compromise, IOC），若在系統上啟用，執行以下指令可進行檢查：

nginx

diag debug application fcgi

若回傳包含「general to-file ENABLED」，即表示該功能已被啟用，系統可能已遭入侵。

已知攻擊來源 IP（建議封鎖）

• 198.105.127[.]124
• 43.228.217[.]173
• 43.228.217[.]82
• 156.236.76[.]90
• 218.187.69[.]244
• 218.187.69[.]59

受影響產品與修補建議版本如下：

FortiVoice

• 6.4.x → 升級至 6.4.11 或以上
• 7.0.x → 升級至 7.0.7 或以上
• 7.2.x → 升級至 7.2.1 或以上

FortiMail

• 7.0.x → 升級至 7.0.9 或以上
• 7.2.x → 升級至 7.2.8 或以上
• 7.4.x → 升級至 7.4.5 或以上
• 7.6.x → 升級至 7.6.3 或以上

FortiNDR

• 1.1–1.5, 7.1 → 建議升級至最新修補版本
• 7.0.x → 升級至 7.0.7 或以上
• 7.2.x → 升級至 7.2.5 或以上
• 7.4.x → 升級至 7.4.8 或以上
• 7.6.x → 升級至 7.6.1 或以上

FortiRecorder

• 6.4.x → 升級至 6.4.6 或以上
• 7.0.x → 升級至 7.0.6 或以上
• 7.2.x → 升級至 7.2.4 或以上

FortiCamera

• 1.1, 2.0 → 建議遷移至已修補版本
• 2.1.x → 升級至 2.1.4 或以上

緊急緩解措施（若暫時無法修補）

對於無法即時更新修補的設備，Fortinet 建議暫時 關閉 HTTP/HTTPS 管理介面，以降低攻擊面。

關聯背景資訊

在此事件發生之前，Fortinet 曾於上月被 Shadowserver Foundation 發現，已有 超過 16,000 台暴露於網際網路的 Fortinet 設備 遭到入侵，且設置了一種新型的 symlink 後門，雖已修補但仍允許威脅者存取敏感檔案。

此外，Fortinet 亦在今年 4 月初通報另一個與 FortiSwitch 相關的重大漏洞，顯示威脅者正持續鎖定 Fortinet 各類產品作為入侵企業網路的跳板。

---

資安專家建議行動項目：

1. 立即修補漏洞：優先升級受影響產品至安全版本。
2. 封鎖惡意 IP：將上述攻擊來源納入防火牆黑名單。
3. 檢查入侵跡象：確認是否啟用了 fcgi debugging，並檢視系統帳號登入紀錄與可疑排程任務。
4. 強化防護策略：落實多因素驗證（MFA）、限制管理介面存取來源 IP、強化日誌監控與異常行為偵測。
5. 進行網路流量分析：觀察是否有與已知惡意 IP 通聯的異常連線。

---

此事件再次警示企業應強化資安態勢感知與設備防護措施，尤其針對邊界設備與管理介面之防禦應更為嚴謹。建議企業導入持續威脅偵測（EDR/NDR）、漏洞管理平台（VMS）與資安事件應變流程，以提升整體防護韌性。

美國網路安全暨基礎設施安全局（CISA）日前正式將 SAP NetWeaver 的一項高風險漏洞（CVE-2025-31324）納入其「已知遭利用漏洞（Known Exploited Vulnerabilities, KEV）」目錄中。

此漏洞於上週被研究人員揭露為一項零時差（Zero-day）漏洞，CVSS 評分達到最高的 10 分（滿分 10 分），並已確認遭到實際攻擊者利用。全球數以千計直接暴露於網際網路的 SAP 應用系統正面臨重大潛在風險。

這個漏洞存在於 SAP NetWeaver 的 Visual Composer Metadata Uploader 元件，主要是因為缺乏適當的授權檢查，導致未經驗證的攻擊者（即未持有有效憑證者）可以直接上傳惡意可執行檔至目標系統。

一旦這些檔案成功上傳並執行，攻擊者將有機會完全接管 SAP 系統環境。SAP 已於 2025 年 4 月的 Security Patch Day 中發布修補程式以修正此問題。

資安業者ReliaQuest 的研究人員在調查多起攻擊事件時發現此漏洞，其中部分案例即便系統已套用最新修補程式仍遭入侵。

「我們於 2025 年 4 月 22 日發表了針對 SAP NetWeaver 系統遭攻擊的調查報告，進而發現這個關鍵漏洞，後來被 SAP 確認為 CVE-2025-31324，嚴重性評為 10 分。」ReliaQuest 的報告指出。「原先以為是遠端檔案包含（RFI）問題，經確認後實為無限制檔案上傳（Unrestricted File Upload）漏洞，SAP 隨即發佈修補程式，我們強烈建議立即套用。」

研究人員指出，SAP 系統由於被全球政府機關與大型企業廣泛採用，因此始終是攻擊者高度鎖定的目標。ReliaQuest 在漏洞公開前，已通報 SAP 並同步部署偵測機制以強化對客戶的防護。

在實際攻擊案例中，威脅行為者透過特製的 POST 請求，利用 Metadata Uploader 上傳惡意的 JSP webshell，並使用 GET 請求進行遠端執行，藉此全面掌控目標系統。這些 webshell 多部署於同一個根目錄，具備類似功能，並重複使用來自公開 GitHub 上的遠端程式碼執行（RCE）專案代碼。

「此漏洞位於 /developmentserver/metadatauploader 端點，原設計是為 SAP NetWeaver 環境中的應用開發與配置流程處理 metadata 檔案。」報告中寫道，「但在我們調查的事件中，攻擊者藉由精心構造的 POST 請求，上傳 JSP webshell 至 j2ee/cluster/apps/sap.com/irj/servletjsp/irj/root/ 資料夾中，並透過簡單的 GET 請求執行，徹底控制系統，將此端點變成攻擊跳板。」

攻擊者所植入的 webshell（如 helper.jsp 或 cache.jsp）允許執行系統指令、上傳檔案與建立持久存取權限。有一個變種甚至結合 Brute Ratel 與 Heaven’s Gate 技術，以增強隱蔽性與操控能力，顯示這是一場針對系統全面滲透與資料竊取的高階威脅行動。

有趣的是，有些攻擊案例中，從初始入侵到後續行動之間存在數日間隔，研判攻擊者極可能是「初始存取仲介商」（Initial Access Broker），透過 VPN、RDP 或漏洞攻擊等方式獲取入侵點後，再轉售給其他威脅行為者。

「我們觀察到某次攻擊中，從取得初始存取權到進行後續操作花了數天時間，因此我們推測該攻擊者應為初始存取仲介，並透過地下論壇販售對受害組織的存取權限。」報告指出。

儘管有些受害系統已打上最新修補，攻擊行為仍成功，專家高度懷疑目前存在尚未公開的 RFI 弱點，正在被鎖定於 SAP NetWeaver 公開伺服器的攻擊中加以利用。

「根據現有證據，我們有高度信心認為此次攻擊涉及一個尚未揭露的遠端檔案包含（RFI）漏洞，目前尚無法確認是否只影響特定版本，但在多起案例中，受害伺服器都已套用最新修補。」報告補充。

根據 CISA 所發佈的《作業指令 22-01：降低已知遭利用漏洞之重大風險》（Binding Operational Directive, BOD 22-01），所有 FCEB（聯邦民營與行政單位）機構必須在指定期限前修補此類漏洞，以防遭受相關攻擊。

資安專家也強烈建議私部門機構定期檢視 KEV 清單，評估並修補企業內部基礎設施中可能存在的相關漏洞。

CISA 要求聯邦機構最遲須於 2025 年 5 月 20 日 前完成修補作業。

近期，FortiGate 防火牆的一個零日漏洞（CVE-2024-55591）引發了網路安全領域的廣泛關注。美國網路安全與基礎設施安全局（CISA）發布緊急指令，要求所有聯邦機構在 1 月 21 日之前完成漏洞修補。這一命令顯示了漏洞的嚴重性，並對網路安全團隊提出了更高的應對要求。

漏洞概述與威脅特徵

Fortinet 在公告中確認，該漏洞已在現實中被積極利用。攻擊者利用此漏洞創建了管理員賬戶並修改防火牆政策設置，從而進一步侵入目標網路環境。這些攻擊活動具有以下顯著特徵：

• 進階存取權限：攻擊者利用漏洞獲得管理員級別的控制，從而改變防火牆行為，為後續攻擊創造條件。
• 快速擴展的攻擊面：Arctic Wolf 提供的報告顯示，此漏洞已在暴露於公共互聯網的 FortiGate 設備中被利用，且零日漏洞的可能性非常高。
• 隨機目標攻擊：攻擊行為並未針對特定行業或規模的組織，顯示出攻擊者的機會主義特徵，通過掃描和自動化工具選擇攻擊目標。

網路安全公司watchTowr 的執行長警告，這一漏洞是「典型的高級持續性威脅（APT）組織利用的零日漏洞」，其高風險性應引起所有組織的重視。

防禦建議與應對措施

網路安全團隊應立即採取行動，重點執行以下應對策略：

快速部署修補：按照 Fortinet 的公告指導，確保設備在最短時間內完成修補。

全面檢查入侵跡象：根據公告中提供的 IOC（攻擊指標），對防火牆日誌和設備行為進行排查。

隔離受影響設備：對存在異常行為的設備進行隔離，以防止進一步橫向滲透。

加強暴露面管理：確保所有設備的管理界面和 API 僅限於內部訪問，並禁止未經授權的外部連接。

舊漏洞再現與安全壓力

除了 CVE-2024-55591，2022 年 FortiGate 防火牆的一個舊漏洞（CVE-2022-40684）再次成為焦點。據知名安全研究員 Kevin Beaumont 表示，一組駭客最近洩露了約 15,000 台設備的完整配置數據，包括用戶名、密碼、防火牆規則和管理憑證等。

即便早期完成了漏洞修補的組織，仍需檢查數據是否在攻擊中被盜，因為這些配置數據可能被滲透者在數年前獲取。

威脅分析建議：網路安全團隊應回溯修補記錄，確認設備是否在修補部署之前已被攻擊，並重新審查防火牆規則與配置的完整性。

微軟 Patch Tuesday 的影響

微軟在 2025 年首個 Patch Tuesday 中修補了 157 個漏洞，創下歷史記錄。值得關注的是，其中 8 個漏洞為零日漏洞，包括影響 Windows Hyper-V 的 CVE-2025-21333 和 CVE-2025-21334。這些漏洞對依賴 Hyper-V 的組織構成嚴重威脅，潛在影響包括：

• 獲取虛擬機訪問權限並篡改配置。
• 竊取敏感數據或憑證。
• 在網路內橫向移動，進一步攻擊其他系統。

CISA 強烈建議各個組織優先修補這兩個漏洞，尤其是針對數據中心、雲服務提供商和大型企業 IT 環境。

行動重點

網路安全專業人士需要同時應對多重威脅，以下是當前的行動重點：

• 優先修補 CVE-2024-55591 和 CVE-2025-21333 等高危漏洞。
• 密切監控防火牆及虛擬化平台的安全狀態，檢查是否存在異常登錄、配置更改等攻擊跡象。
• 強化內部與外部攻擊面的防護，限制設備的公共暴露。

透過及時回應和全面檢查，企業可有效降低漏洞帶來的安全風險，維護業務的穩定運行。