VeraCore 两个0day漏洞被用于实施供应链攻击

发布于2025年2月18日2025年7月19日作者:cve-20

VeraCore 两个0day漏洞被用于实施供应链攻击

Rob Wright 代码卫士 2025-02-18 10:12

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

研究人员在仓库管理软件平台 VeraCore 中发现了两个遭活跃利用的0day漏洞。Intezer 和 Solis Security 公司的安全研究员发现网络犯罪团伙 XE Group 利用这两个漏洞，早在2020年就攻陷制造和分销行业的供应链。

VeraCore 遭利用的两个0day漏洞是CVE-2024-57968和CVE-2025-25181。CVE-2024-57968是一个严重的上传验证漏洞，CVSS评分为9.9，CVE-2025-25181是一个中危的SQL注入漏洞，CVSS评分为5.8。这两个漏洞是研究人员在2024年11月5日从XE Group 发动的攻击中发现的。

攻击者攻陷了托管 VeraCore 仓库管理系统软件的互联网信息服务 (IIS) 服务器，进一步分析发现该服务器在2020年1月首次经由当时还是0day漏洞的SQL注入漏洞攻陷。

XE Group 部署了自定义 webshell，而研究员认为它们是“高度多用途”的工具，可维持对受害者环境以及SQL查询的持久访问权限。在受攻陷的IIS服务器案例中，XE Group 复用了早在四年前就植入的一个 webshell。

Intezer 和 Solis Security 网络安全公司提醒称，XE Group 正在利用制造和分销行业中的供应链。虽然XE Group 因信用卡盗刷行为为人所知，但研究人员提到该组织已增强了其能力。这两家公司在博客文章中提到，“XE Group 从信用卡盗刷到利用0day漏洞体现了其适应性和不断增加的复杂性。他们维持系统持久访问权限的能力，即在初始部署数年后重新激活webshell的行为，凸显了该组织致力于长期目标的目的。”

研究人员提到，Advantive 公司为CVE-2024-57968发布了临时修复方案，删除了 VeraCore 的上传特性。不过目前尚不清楚CVE-2025-25181是否被修复。Advantive 的一名发言人提到，“目前，尚未发现针对VeraCore 软件的已知活跃威胁。Advantive 持续评估并增强安全措施，以阻止越权访问并确保满足最高网络安全标准。”

代码卫士试用地址：
https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

在线阅读版：《2024中国软件供应链安全分析报告》全文

在线阅读版：《2023中国软件供应链安全分析报告》全文

在线阅读版：《2022中国软件供应链安全分析报告》全文

新型 “whoAMI” 攻击利用AWS AMI 名称混淆实现远程代码执行

Google Cloud 依赖混淆漏洞影响数百万台服务器

什么鬼？我能通过依赖混淆攻击在 Halo 游戏服务器中执行命令，微软不 care？！

原文链接

https://www.cybersecuritydive.com/news/veracore-zero-day-vulnerabilities-exploited-in-supply-chain-attacks/739784/

题图：
Pixabay
License