2025年5月第一周 资安威胁周报
【重要等级:严重风险】
| 弱点名称 |
| Missing Authorization Check in SAP NetWeaver (Critical) |
|
► 摘要:SAP NetWeaver的Visual Composer Development Server,其Metadata Uploader缺少适当的授权检查机制,未验证的攻击者可发送特制的POST请 求,将恶意档案上传到系统中,并以SAP系统管理员权限执行指令。 ► CVE 编号:CVE-2025-31324 ► 受影响厂商:SAP ► 受影响产品:SAP NetWeaver ► SAP NetWeaver Visual Composer (VCFRAMEWORK) 7.50版本受影响,请参阅SAP Security Note 3594142,采取修正或缓解措施。 ► 若无使用必要,建议停用或限制使用Visual Composer。 ► 观察到已出现攻击行为,建议尽早采取修正与防范措施。 ► 修补说明:SAP于2025/4/25公告,并于2025/5/2更新此漏洞。(详细请参考: https://me.sap.com/notes/3594142,需登入;其他:https://url.sap/sapsecuritypatchday、https://onapsis.com/blog/active-exploitation-of-sap-vulnerability-cve-2025-31324/、https://reliaquest.com/blog/threat-spotlight-reliaquest-uncovers-vulnerability-behind-sap-netweaver-compromise/) |
| Multiple Cisco Products Unauthenticated Remote Code Execution in Erlang/OTP SSH Server: April 2025 (Critical) (Updated) |
|
► 摘要:Cisco确认部分产品使用具本漏洞之Erlang/OTP。Erlang/OTP常用于电信、 IoT与Edge computing设备中,其提供之SSH服务存在一重大漏洞,SSH协定 message处理机制出现缺陷,未经身份验证的攻击者无需提供有效凭证,即可直接 取得系统存取权限并执行任意指令。 ► CVE 编号:CVE-2025-32433 ► 受影响厂商:Cisco ► 受影响产品:ConfD、ConfD Basic、Network Services Orchestrator (NSO)、 Smart PHY、Ultra Services Platform、ASR 5000 Series Software (StarOS) and Ultra Packet Core、Cloud Native Broadband Network Gateway、iNode Manager、Ultra Cloud Core (Access and Mobility Management Function、Policy Control Function、Redundancy Configuration Manager、Session Management Function、Subscriber Microservices Infrastructure)、Enterprise NFV Infrastructure Software (NFVIS)、Small Business RV Series Routers RV160, RV160W, RV260, RV260P, RV260W, RV340, RV340W, RV345, RV345P ► ConfD与ConfD Basic升级至7.7.19.1、8.0.17.1、8.1.16.2、8.1.16.2、8.2.11.1、8.3.8.1、 8.4.4.1版本修正。(8.3.8.1、8.4.4.1版本预定2025年5月释出) ► Network Services Orchestrator (NSO) 系列升级至5.7.19.1、6.1.16.2、6.2.11.1、 6.3.8.1、6.4.1.1、6.4.4.1版本修正。 ► Optical Site Manager for Network Convergence System (NCS) 1000 Series系列升级至 25.2.1、25.3.1版本修正。( 25.2.1版本预定2025年6月释出、25.3.1版本预定2025年9月 释出) ► Ultra Cloud Core - Subscriber Microservices Infrastructure1系列升级至2025.03.1版本修 正。(版本预定2025年8月释出) ► iNode Manager系列已终止支援(EoS and EoL),不会释出修补,请参阅公告。 ► Small Business RV Series Routers RV160, RV160W, RV260, RV260P, RV260W, RV340, RV340W, RV345, RV345P系列已终止支援(EoS and EoL),不会释出修补,请 参阅公告。 ► 其馀产品修正版本待厂商释出。 ► 观察到已出现攻击行为,建议尽早采取修正、防范或移转措施。 ► 修补说明:Cisco于2025/4/30更新此漏洞。(详细请参考:https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-erlang-otp-ssh-xyZZy) |
| F5: Apache HTTPD vulnerability CVE-2022-37436 (Updated) |
|
► 摘要:F5部分产品使用具本漏洞之Apache HTTPD。此漏洞使部分预期不透露的资讯 被包含在传回至用户端的HTTP response中,若这些资讯原本具有安全性用途,一方 面使用户端无法正确解析回应,同时也将重要资讯透露给攻击者。 ► CVE 编号:CVE-2022-37436 ► 受影响厂商:F5 ► 受影响产品:BIG-IP (all modules)、F5OS-A、F5OS-C、Traffix SDC ► BIG-IP (all modules) 17.1.0 - 17.5.0、16.1.0 - 16.1.6、15.1.0 - 15.1.10、14.1.0 - 14.1.5、 13.1.0 - 13.1.5版本受影响,修正版本尚未发布,待厂商日后更新。 ► F5OS-A 1.3.0 - 1.3.2版本受影响,修正版本尚未发布,待厂商日后更新。 ► F5OS-C 1.5.0 - 1.5.1、1.3.0 - 1.3.2版本受影响,修正版本尚未发布,待厂商日后更新。 ► Traffix SDC 5.2.0版本受影响,修正版本尚未发布,待厂商日后更新。 ► 修补说明:F5于2025/5/1更新此漏洞。(详细请参考:https://my.f5.com/manage/s/article/K000132665) |
| F5:zlib vulnerability CVE-2018-25032 (Updated) |
|
► 摘要:F5部分产品使用具本漏洞之zlib。 ► BIG-IP(BaseOS、Dynacache、tm_lib、NodeJS):若启用HTTP压缩功能,可能会受到zlib 漏洞影响。 ► BIG-IP(rpmbuild):攻击者若可存取命令列接口(CLI),可能间接影响rpmbuild运行的安 全性。 ► BIG-IP APM Clients:用于远端 VPN、企业资源控管与存取验证,压缩设定牵涉zlib。 ► BIG-IQ(rpmbuild):攻击者若可存取命令列接口(CLI),可能间接影响rpmbuild运行的安 全性。 ► CVE 编号:CVE-2018-25032 ► 受影响厂商:F5 ► 受影响产品:BIG-IP APM Clients、BIG-IP (all modules)、BIG-IQ Centralized Management、F5OS-A、F5OS-C、Traffix SDC ► BIG-IP APM Clients 7.2.1 - 7.2.5版本受影响,修正版本尚未发布,待厂商日后更新。 ► BIG-IP (all modules) 17.5.0、17.0.0 - 17.1.2、16.1.0 - 16.1.6、15.1.0 - 15.1.10版本受影 响,修正版本尚未发布,待厂商日后更新。 ► BIG-IP (all modules) 14.1.0 - 14.1.5、13.1.0 - 13.1.5等旧版本受影响,F5不提供这些版本的 修正,建议升级或移转至修正版本。 ► BIG-IQ Centralized Management 8.0.0 - 8.4.0版本受影响,修正版本尚未发布,待厂商日 后更新。 ► BIG-IQ Centralized Management 7.0.0 - 7.1.0旧版本受影响,F5不提供这些版本的修正, 建议升级或移转至修正版本。 ► F5OS-A 1.0.0 - 1.5.1版本受影响,修正版本尚未发布,待厂商日后更新。 ► F5OS-C 1.1.0 - 1.5.1版本受影响,升级至1.6.0版本修正。 ► Traffix SDC 5.2.0、5.1.0版本受影响,修正版本尚未发布,待厂商日后更新。 ► 缓解措施:限制zlib使用,如停用HTTP、SSH或VPN的资讯传递压缩功能,或仅允许信任来 源SSH登入等。进一步资讯请参阅公告之Mitigation一节。 ► 修补说明:F5于2025/4/30更新此漏洞。(详细请参考:https://my.f5.com/manage/s/article/K21548854) |
| F5: OpenSSL vulnerability CVE-2023-0286 (Updated) |
|
► 摘要:F5部分产品使用具本漏洞之OpenSSL。部分版本之OpenSSL存在type confusion漏洞,发生在处理 X.509 GeneralName结构中的X.400 address,当应用 程式启用CRL检查功能时,攻击者可利用此漏洞传递任意内存指标至memcmp函 式,进而读取内存内容或造成服务阻绝(DoS)。 ► CVE 编号:CVE-2023-0286 ► 受影响厂商:F5 ► 受影响产品:BIG-IP (all modules)、BIG-IQ Centralized Management、Traffix SDC ► BIG-IP (all modules) 17.0.0 - 17.1.0版本受影响,升级至17.1.1版本修正。 ► BIG-IP (all modules) 16.1.0 - 16.1.3版本受影响,升级至16.1.4版本修正。 ► BIG-IP (all modules) 15.1.0 – 15.1.9版本受影响,升级至15.1.10版本修正。 ► BIG-IP (all modules) 14.1.0 - 14.1.5、13.1.0 - 13.1.5等旧版本受影响,F5不提供这些版本的 修正,建议升级或移转至修正版本。 ► BIG-IQ Centralized Management 8.0.0 - 8.4.0版本受影响,修正版本尚未发布,待厂商日 后更新。 ► BIG-IQ Centralized Management 7.1.0旧版本受影响,F5不提供这些版本的修正,建议升 级或移转至修正版本。 ► Traffix SDC 5.2.0版本受影响,修正版本尚未发布,待厂商日后更新。 ► 缓解措施:不汇入任意第三方或非可信任之CRL清单与凭证链。 ► 修补说明:F5于2025/4/29更新此漏洞。(详细请参考:https://my.f5.com/manage/s/article/K000132941) |
|
参考资料 ► CVE-2025-31324 https://www.cve.org/CVERecord?id=CVE-2025-31324 ► CVE-2025-32433 https://www.cve.org/CVERecord?id=CVE-2025-32433 ► CVE-2022-37436 https://www.cve.org/CVERecord?id=CVE-2022-37436 ► CVE-2018-25032 https://www.cve.org/CVERecord?id=CVE-2018-25032 ► CVE-2023-0286 https://www.cve.org/CVERecord?id=CVE-2023-0286 Logicalis 资安通报 |