2025年5月第一週 資安威脅週報
【重要等級:嚴重風險】
| 弱點名稱 |
| Missing Authorization Check in SAP NetWeaver (Critical) |
|
► 摘要:SAP NetWeaver的Visual Composer Development Server,其Metadata Uploader缺少適當的授權檢查機制,未驗證的攻擊者可發送特製的POST請 求,將惡意檔案上傳到系統中,並以SAP系統管理員權限執行指令。 ► CVE 編號:CVE-2025-31324 ► 受影響廠商:SAP ► 受影響產品:SAP NetWeaver ► SAP NetWeaver Visual Composer (VCFRAMEWORK) 7.50版本受影響,請參閱SAP Security Note 3594142,採取修正或緩解措施。 ► 若無使用必要,建議停用或限制使用Visual Composer。 ► 觀察到已出現攻擊行為,建議儘早採取修正與防範措施。 ► 修補說明:SAP於2025/4/25公告,並於2025/5/2更新此漏洞。(詳細請參考: https://me.sap.com/notes/3594142,需登入;其他:https://url.sap/sapsecuritypatchday、https://onapsis.com/blog/active-exploitation-of-sap-vulnerability-cve-2025-31324/、https://reliaquest.com/blog/threat-spotlight-reliaquest-uncovers-vulnerability-behind-sap-netweaver-compromise/) |
| Multiple Cisco Products Unauthenticated Remote Code Execution in Erlang/OTP SSH Server: April 2025 (Critical) (Updated) |
|
► 摘要:Cisco確認部分產品使用具本漏洞之Erlang/OTP。Erlang/OTP常用於電信、 IoT與Edge computing設備中,其提供之SSH服務存在一重大漏洞,SSH協定 message處理機制出現缺陷,未經身份驗證的攻擊者無需提供有效憑證,即可直接 取得系統存取權限並執行任意指令。 ► CVE 編號:CVE-2025-32433 ► 受影響廠商:Cisco ► 受影響產品:ConfD、ConfD Basic、Network Services Orchestrator (NSO)、 Smart PHY、Ultra Services Platform、ASR 5000 Series Software (StarOS) and Ultra Packet Core、Cloud Native Broadband Network Gateway、iNode Manager、Ultra Cloud Core (Access and Mobility Management Function、Policy Control Function、Redundancy Configuration Manager、Session Management Function、Subscriber Microservices Infrastructure)、Enterprise NFV Infrastructure Software (NFVIS)、Small Business RV Series Routers RV160, RV160W, RV260, RV260P, RV260W, RV340, RV340W, RV345, RV345P ► ConfD與ConfD Basic升級至7.7.19.1、8.0.17.1、8.1.16.2、8.1.16.2、8.2.11.1、8.3.8.1、 8.4.4.1版本修正。(8.3.8.1、8.4.4.1版本預定2025年5月釋出) ► Network Services Orchestrator (NSO) 系列升級至5.7.19.1、6.1.16.2、6.2.11.1、 6.3.8.1、6.4.1.1、6.4.4.1版本修正。 ► Optical Site Manager for Network Convergence System (NCS) 1000 Series系列升級至 25.2.1、25.3.1版本修正。( 25.2.1版本預定2025年6月釋出、25.3.1版本預定2025年9月 釋出) ► Ultra Cloud Core - Subscriber Microservices Infrastructure1系列升級至2025.03.1版本修 正。(版本預定2025年8月釋出) ► iNode Manager系列已終止支援(EoS and EoL),不會釋出修補,請參閱公告。 ► Small Business RV Series Routers RV160, RV160W, RV260, RV260P, RV260W, RV340, RV340W, RV345, RV345P系列已終止支援(EoS and EoL),不會釋出修補,請 參閱公告。 ► 其餘產品修正版本待廠商釋出。 ► 觀察到已出現攻擊行為,建議儘早採取修正、防範或移轉措施。 ► 修補說明:Cisco於2025/4/30更新此漏洞。(詳細請參考:https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-erlang-otp-ssh-xyZZy) |
| F5: Apache HTTPD vulnerability CVE-2022-37436 (Updated) |
|
► 摘要:F5部分產品使用具本漏洞之Apache HTTPD。此漏洞使部分預期不透露的資訊 被包含在傳回至用戶端的HTTP response中,若這些資訊原本具有安全性用途,一方 面使用戶端無法正確解析回應,同時也將重要資訊透露給攻擊者。 ► CVE 編號:CVE-2022-37436 ► 受影響廠商:F5 ► 受影響產品:BIG-IP (all modules)、F5OS-A、F5OS-C、Traffix SDC ► BIG-IP (all modules) 17.1.0 - 17.5.0、16.1.0 - 16.1.6、15.1.0 - 15.1.10、14.1.0 - 14.1.5、 13.1.0 - 13.1.5版本受影響,修正版本尚未發佈,待廠商日後更新。 ► F5OS-A 1.3.0 - 1.3.2版本受影響,修正版本尚未發佈,待廠商日後更新。 ► F5OS-C 1.5.0 - 1.5.1、1.3.0 - 1.3.2版本受影響,修正版本尚未發佈,待廠商日後更新。 ► Traffix SDC 5.2.0版本受影響,修正版本尚未發佈,待廠商日後更新。 ► 修補說明:F5於2025/5/1更新此漏洞。(詳細請參考:https://my.f5.com/manage/s/article/K000132665) |
| F5:zlib vulnerability CVE-2018-25032 (Updated) |
|
► 摘要:F5部分產品使用具本漏洞之zlib。 ► BIG-IP(BaseOS、Dynacache、tm_lib、NodeJS):若啟用HTTP壓縮功能,可能會受到zlib 漏洞影響。 ► BIG-IP(rpmbuild):攻擊者若可存取命令列介面(CLI),可能間接影響rpmbuild運行的安 全性。 ► BIG-IP APM Clients:用於遠端 VPN、企業資源控管與存取驗證,壓縮設定牽涉zlib。 ► BIG-IQ(rpmbuild):攻擊者若可存取命令列介面(CLI),可能間接影響rpmbuild運行的安 全性。 ► CVE 編號:CVE-2018-25032 ► 受影響廠商:F5 ► 受影響產品:BIG-IP APM Clients、BIG-IP (all modules)、BIG-IQ Centralized Management、F5OS-A、F5OS-C、Traffix SDC ► BIG-IP APM Clients 7.2.1 - 7.2.5版本受影響,修正版本尚未發佈,待廠商日後更新。 ► BIG-IP (all modules) 17.5.0、17.0.0 - 17.1.2、16.1.0 - 16.1.6、15.1.0 - 15.1.10版本受影 響,修正版本尚未發佈,待廠商日後更新。 ► BIG-IP (all modules) 14.1.0 - 14.1.5、13.1.0 - 13.1.5等舊版本受影響,F5不提供這些版本的 修正,建議升級或移轉至修正版本。 ► BIG-IQ Centralized Management 8.0.0 - 8.4.0版本受影響,修正版本尚未發佈,待廠商日 後更新。 ► BIG-IQ Centralized Management 7.0.0 - 7.1.0舊版本受影響,F5不提供這些版本的修正, 建議升級或移轉至修正版本。 ► F5OS-A 1.0.0 - 1.5.1版本受影響,修正版本尚未發佈,待廠商日後更新。 ► F5OS-C 1.1.0 - 1.5.1版本受影響,升級至1.6.0版本修正。 ► Traffix SDC 5.2.0、5.1.0版本受影響,修正版本尚未發佈,待廠商日後更新。 ► 緩解措施:限制zlib使用,如停用HTTP、SSH或VPN的資訊傳遞壓縮功能,或僅允許信任來 源SSH登入等。進一步資訊請參閱公告之Mitigation一節。 ► 修補說明:F5於2025/4/30更新此漏洞。(詳細請參考:https://my.f5.com/manage/s/article/K21548854) |
| F5: OpenSSL vulnerability CVE-2023-0286 (Updated) |
|
► 摘要:F5部分產品使用具本漏洞之OpenSSL。部分版本之OpenSSL存在type confusion漏洞,發生在處理 X.509 GeneralName結構中的X.400 address,當應用 程式啟用CRL檢查功能時,攻擊者可利用此漏洞傳遞任意記憶體指標至memcmp函 式,進而讀取記憶體內容或造成服務阻絕(DoS)。 ► CVE 編號:CVE-2023-0286 ► 受影響廠商:F5 ► 受影響產品:BIG-IP (all modules)、BIG-IQ Centralized Management、Traffix SDC ► BIG-IP (all modules) 17.0.0 - 17.1.0版本受影響,升級至17.1.1版本修正。 ► BIG-IP (all modules) 16.1.0 - 16.1.3版本受影響,升級至16.1.4版本修正。 ► BIG-IP (all modules) 15.1.0 – 15.1.9版本受影響,升級至15.1.10版本修正。 ► BIG-IP (all modules) 14.1.0 - 14.1.5、13.1.0 - 13.1.5等舊版本受影響,F5不提供這些版本的 修正,建議升級或移轉至修正版本。 ► BIG-IQ Centralized Management 8.0.0 - 8.4.0版本受影響,修正版本尚未發佈,待廠商日 後更新。 ► BIG-IQ Centralized Management 7.1.0舊版本受影響,F5不提供這些版本的修正,建議升 級或移轉至修正版本。 ► Traffix SDC 5.2.0版本受影響,修正版本尚未發佈,待廠商日後更新。 ► 緩解措施:不匯入任意第三方或非可信任之CRL清單與憑證鏈。 ► 修補說明:F5於2025/4/29更新此漏洞。(詳細請參考:https://my.f5.com/manage/s/article/K000132941) |
|
參考資料 ► CVE-2025-31324 https://www.cve.org/CVERecord?id=CVE-2025-31324 ► CVE-2025-32433 https://www.cve.org/CVERecord?id=CVE-2025-32433 ► CVE-2022-37436 https://www.cve.org/CVERecord?id=CVE-2022-37436 ► CVE-2018-25032 https://www.cve.org/CVERecord?id=CVE-2018-25032 ► CVE-2023-0286 https://www.cve.org/CVERecord?id=CVE-2023-0286 Logicalis 資安通報 |