VeraCore 两个0day漏洞被用于实施供应链攻击

VeraCore 遭利用的两个0day漏洞是CVE-2024-57968和CVE-2025-25181。CVE-2024-57968是一个严重的上传验证漏洞，CVSS评分为9.9，CVE-2025-25181是一个中危的SQL注入漏洞，CVSS评分为5.8。这两个漏洞是研究人员在2024年11月5日从XE Group 发动的攻击中发现的。

攻击者攻陷了托管 VeraCore 仓库管理系统软件的互联网信息服务 (IIS) 服务器，进一步分析发现该服务器在2020年1月首次经由当时还是0day漏洞的SQL注入漏洞攻陷。

XE Group 部署了自定义 webshell，而研究员认为它们是“高度多用途”的工具，可维持对受害者环境以及SQL查询的持久访问权限。在受攻陷的IIS服务器案例中，XE Group 复用了早在四年前就植入的一个 webshell。

Intezer 和 Solis Security 网络安全公司提醒称，XE Group 正在利用制造和分销行业中的供应链。虽然XE Group 因信用卡盗刷行为为人所知，但研究人员提到该组织已增强了其能力。这两家公司在博客文章中提到，“XE Group 从信用卡盗刷到利用0day漏洞体现了其适应性和不断增加的复杂性。他们维持系统持久访问权限的能力，即在初始部署数年后重新激活webshell的行为，凸显了该组织致力于长期目标的目的。”

研究人员提到，Advantive 公司为CVE-2024-57968发布了临时修复方案，删除了 VeraCore 的上传特性。不过目前尚不清楚CVE-2025-25181是否被修复。Advantive 的一名发言人提到，“目前，尚未发现针对VeraCore 软件的已知活跃威胁。Advantive 持续评估并增强安全措施，以阻止越权访问并确保满足最高网络安全标准。”