聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
研究人员在仓库管理软件平台 VeraCore 中发现了两个遭活跃利用的0day漏洞。Intezer 和 Solis Security 公司的安全研究员发现网络犯罪团伙 XE Group 利用这两个漏洞,早在2020年就攻陷制造和分销行业的供应链。
VeraCore 遭利用的两个0day漏洞是CVE-2024-57968和CVE-2025-25181。CVE-2024-57968是一个严重的上传验证漏洞,CVSS评分为9.9,CVE-2025-25181是一个中危的SQL注入漏洞,CVSS评分为5.8。这两个漏洞是研究人员在2024年11月5日从XE Group 发动的攻击中发现的。
攻击者攻陷了托管 VeraCore 仓库管理系统软件的互联网信息服务 (IIS) 服务器,进一步分析发现该服务器在2020年1月首次经由当时还是0day漏洞的SQL注入漏洞攻陷。
XE Group 部署了自定义 webshell,而研究员认为它们是“高度多用途”的工具,可维持对受害者环境以及SQL查询的持久访问权限。在受攻陷的IIS服务器案例中,XE Group 复用了早在四年前就植入的一个 webshell。
Intezer 和 Solis Security 网络安全公司提醒称,XE Group 正在利用制造和分销行业中的供应链。虽然XE Group 因信用卡盗刷行为为人所知,但研究人员提到该组织已增强了其能力。这两家公司在博客文章中提到,“XE Group 从信用卡盗刷到利用0day漏洞体现了其适应性和不断增加的复杂性。他们维持系统持久访问权限的能力,即在初始部署数年后重新激活webshell的行为,凸显了该组织致力于长期目标的目的。”
研究人员提到,Advantive 公司为CVE-2024-57968发布了临时修复方案,删除了 VeraCore 的上传特性。不过目前尚不清楚CVE-2025-25181是否被修复。Advantive 的一名发言人提到,“目前,尚未发现针对VeraCore 软件的已知活跃威胁。Advantive 持续评估并增强安全措施,以阻止越权访问并确保满足最高网络安全标准。”
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
新型 “whoAMI” 攻击利用AWS AMI 名称混淆实现远程代码执行
什么鬼?我能通过依赖混淆攻击在 Halo 游戏服务器中执行命令,微软不 care?!
原文链接
https://www.cybersecuritydive.com/news/veracore-zero-day-vulnerabilities-exploited-in-supply-chain-attacks/739784/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
