最近几天有多则CVSS资安风险达到10分的消息引起关注,这些包括了SAP NetWeaver的任意档案上传漏洞CVE-2025-31324、老牌备份软体Commvault集中管理工具漏洞CVE-2025-34028、,思科确认
日本电脑紧急应变团队暨协调中心(JPCERT/CC)近期通报指出,有攻击者利用Ivanti Connect Secure装置上已被发现的零时差漏洞CVE-2025-0282,对多家日本组织发动攻击,成功植入DslogdRAT木马程式与简易Web Shell,持续控制受害者系统并展开后续渗透行动。这波攻击主要发生于2024年12月前后,JPCERT/CC提醒企业加强防护,并持续监控Ivanti产品的异常行为。
根据研究人员的分析,攻击者首先在受害装置上部署以Perl撰写的Web Shell,该脚本在CGI环境运作,能读取HTTP请求的Cookie标头资讯,并验证是否包含特定值。当验证成功,Web Shell即可接收并执行攻击者透过参数传入的任意指令。由于Web Shell功能单纯,研究人员推测攻击者主要借此建立远端命令执行入口,以便下载及启动DslogdRAT等后续恶意程式。
附带一提,研究人员也在同一受害系统上,发现名为SPAWNSNARE的恶意程式。SPAWNSNARE曾被CISA与Google揭露,不过,目前尚无法确认此次DslogdRAT攻击行动,是否与先前操控SPAWN系列恶意程式的攻击组织UNC5221直接相关。
俄罗斯资安业者Doctor Web发现,安卓地图软体Alpine Quest被植入木马及间谍程式,可用来窃取受害者的地理位置与通讯录,还能搜集装置上所存放的档案资料,或是下载其他恶意程式,而且这波攻击锁定的对象是俄罗斯的前线战士。Doctor Web说,Alpine Quest受到许多运动员、旅行者及猎人的喜爱,同时它也被俄罗斯军人广泛地在俄乌战区使用,而这正是骇客的目标。
骇客是在旧版的Alpine Quest软体,嵌入Android.Spy.1292.origin间谍程式,然后建立假冒为Alpine Quest的Telegram频道,宣称要免费提供付费版产品,并将使用者导向俄罗斯的应用程式商店以进行下载。
此恶意程式具备完整的Alpine Quest功能,使得它能够蛰伏更久,每次启用时,它就会搜集装置上的号码、通讯录、日期、位置及装置上存放的档案资讯等,并将它们上传到骇客所控制的伺服器。
以开发企业资源管理(ERP)软体闻名的德国厂商SAP,于4月24日紧急修补了CVSS风险评分高达10分的安全漏洞CVE-2025-31324,它允许骇客未经授权上传并执行恶意程式,而且已经遭到骇客利用。该漏洞存在于SAP的应用程式伺服器SAP NetWeaver上。
这项漏洞发现的缘由,是美国资安业者ReliaQuest在今年4月调查多起与SAP NetWeaver有关的安全事件,这些事故皆涉及未经授权的文件上传及恶意档案执行,同时发现骇客已经将许多JSP Web Shell上传到可公开存取的目录中。原本ReliaQuest团队以为这是远端档案包含(Remote File Inclusion,RFI)漏洞作祟,但之后SAP却证实它是个更严重的无限制档案上传漏洞,允许未经授权的骇客直接上传任意档案至受害系统。
ReliaQuest在4月22日通报此事,随后得到SAP确认,并发布紧急更新修补。