有多家资安业者提出警告,SAP在4月24日修补的资安漏洞CVE-2025-31324,已出现实际的攻击行动,攻击者在NetWeaver伺服器部署Web Shell。究竟有多少伺服器受害?有研究人员公布新的调查结果。
Shadowserver基金会、网路安全搜寻引擎业者Onyphe、资安业者Nextron Systems先后透露调查结果,值得留意的是,他们揭露的影响范围有相当大的落差,是否影响范围还会再扩大,有待进一步的追踪。
【攻击与威胁】
4月24日SAP紧急发布应用程式伺服器NetWeaver更新,修补风险值达到10分满分的重大漏洞CVE-2025-31324,通报此事的资安业者ReliaQuest在调查资安事故的过程察觉这项漏洞,后续有多家资安业者Onapsis、watchTowr表明观察到相关攻击行动的迹象,但究竟有多少NetWeaver伺服器受害?有新的调查结果出炉。
28日Shadowserver基金会指出,他们确认有454个IP位址曝险,其中美国有149个最多,印度、澳洲有50个、37个居次。
但后续有研究人员指出,实际影响范围可能更为广泛。网路安全搜寻引擎业者Onyphe向资安新闻网站Bleeping Computer透露,他们确认有1,284台伺服器存在CVE-2025-31324,其中474台已被入侵,骇客植入了Web Shell。另一家资安业者Nextron Systems指出,截至目前为止,他们确认超过1,100套NetWeaver系统已经被入侵,并强调这类系统几乎都建置于大型企业及关键基础设施,鲜少在其他环境应用,因此影响的范围可能会相当广泛。
【漏洞与修补】
许多人在套用完4月份微软例行更新(Patch Tuesday)的修补程式之后,发现电脑系统磁区(通常是C:)会出现名为inetpub的资料夹,此资料夹能否手动删除,引起用户的热烈讨论。后续微软在权限提升漏洞CVE-2025-21204的资安公告里提出说明,此资料夹是修补该漏洞的一部分,使用者不应将其删除,但有研究人员发现,微软透过作业系统更新建立此资料夹,导致inetpub资料夹有可能遭到滥用,攻击者有机会用来让使用者无法完成作业系统更新。
资安专家Kevin Beaumont提出警告,他发现微软建立的这个资料夹,有可能在Windows的服务堆叠(Servicing Stack)更新机制,引入引发阻断服务(DoS)问题的弱点,导致所有非管理员身分的使用者无法接收未来的更新。
Kevin Beaumont在完成修补CVE-2025-21204的电脑,看到哪些活动?攻击者只要取得一般使用者的权限,下达mklink命令,对C:inetpub与任意的公用程式(Kevin Beaumont以记事本notepad.exe为例)建立特定资料夹的连接点(Junction Point),之后使用者若执行Microsoft Update系统更新,电脑就会出现错误讯息,并将原本安装的更新复原。换言之,这名使用者未来将无法套用任何系统更新。
其他漏洞与修补
继Google于今年4月Cloud Next云端会议宣布全新资安整合平台Google Unified Security与AI资安代理功能后,28日于RSAC资安会议进一步推出可供用户优先试用AI资安代理功能的SecOps Labs,以及两款新AI资安代理:侦测工程代理与应变处理代理,朝向以AI资安代理为主体的次世代自动化代理型资安维运中心(Agentic SOC)的愿景推进。
Google预期未来全自动化代理型资安维运中心,将由更多的AI资安代理人自动处理重复性工作,协助资安分析师提升决策速度与准确度,让人力专注于应对复杂、隐匿性高的威胁。作为Google Security Operations的用户,Apex Fintech资深资安总监Hector Peña指出,过去资安分析师往往需要半小时至一小时才能完成正规表示式的撰写工作,现在透过Gemini的协助则只要几秒钟就能完成。
他是中华资安国际高级资安检测工程师粘书豪,之前曾在台积电担任课长一职。照理来说,粘书豪有台积电的历练,本身又是资管系出身,转职资安理应比许多人难度降低不少,但其实没有这么容易。粘书豪表示,他最初报名骇客技术专家认证课程来学习相关知识,结果第一天上课就尝到震憾教育,因为,当时他连port是什么都不知道,可说是从零踏入资安领域。
虽然转入资安领域只有两年,但粘书豪可说是相当投入其中,他不只日常上班负责资安检测工作,同时也利用个人时间,为国内资安漏洞通报做出重大贡献,在HITCON Zeroday 2023年度漏洞通报排行第1名。
其他资安防御措施