Zero-day zraniteľnosti Advantive VeraCore

Advantive VeraCore obsahuje dve aktívne zneužívané zraniteľnosti, z ktorých jedna umožňuje nahrávanie súborov do ľubovoľného priečinku zraniteľnej aplikácie a druhá umožňuje získať kontrolu nad databázou. Útočníci zo skupiny XE Group zreťazujú tieto zraniteľnosti pre nasadenie webshellov.

Zraniteľné systémy:

• Advantive VeraCore 2025.1.0 a staršie

Opis činnosti:

CVE-2024-57968 (CVSS skóre 9,9)

Kritická zero-day zraniteľnosť Advantive VeraCore umožňuje vzdialeným autentifikovaným útočníkom útok typu path traversal a nahrávanie súborov do priečinkov, ktoré na to neboli určené. Zraniteľnosť súvisí s nedostatočným overovaním používateľských vstupov pri nahrávaní súborov komponentom /VeraCore/OMS/upload.aspx.

CVE-2025-25181 (CVSS skóre 5,8)

Zero-day zraniteľnosť v komponente timeoutWarning.asp umožňuje vzdialeným neautentifikovaným útočníkom zneužiť parameter PmSess1 pre vykonávanie ľubovoľných príkazov SQL. Zraniteľnosť vyplýva z nedostatočnej sanitizácie používateľských vstupov, vstupujúcich do daného parametra. Umožňuje získať kontrolu nad zraniteľnou aplikáciou, čítať, meniť a mazať dáta v databáze.

Zraniteľnosti aktívne zneužíva skupina XE Group. Zreťazením týchto zraniteľností získavajú útočníci schopnosť nahrávať na zraniteľné systémy webshelly ASPXSpy, čo im umožňuje vytvoriť si zadné vrátka do systému. Prvé odhalené zneužitie CVE-2025-25181 sa datuje do roku 2020.

Možné škody:

• Únik citlivých informácií
• Modifikácia informácií
• Získanie prístupu do systému

Odporúčania:

Pre odstránenie CVE-2024-57968 aktualizujte Advantive VeraCore aspoň na verziu 2024.4.2.1. Pre CVE-2025-25181 aktualizácia zatiaľ nie je dostupná. Odporúčame preveriť prítomnosť IoC v logoch sieťových a bezpečnostných prvkov.

IoC (kompletná informácia tu):

SHA1: 032dd95a1299f37aaa76318945e030eb7da94da9 – webshell z roku 2020

SHA1: 84e7f4ff1f93a4297c2e2c4e54f14edb18396b60 – webshell z roku 2020

SHA1: 16db01fe25b0c09e18d13f38c88a4ead5d10e323 – webshell z roku 2020

SHA1: ede5ddb97b98d80440553b23dfc19fdb4adc7499 – webshell z roku 2024

SHA1: 9e928a26aa3c0e6eb8e709fc55ea12dcf7e02ff9 – zraniteľná verzia upload.aspx

171.227.250.249 – nahrávanie webshellov

123.20.29.193 – interakcia s webshellmi

222.253.102.94 – IP adresa C&C servera XE Group a interakcia s webshellmi

Odkazy:

• https://thehackernews.com/2025/02/xe-hacker-group-exploits-veracore-zero.html
• https://nvd.nist.gov/vuln/detail/CVE-2024-57968
• https://nvd.nist.gov/vuln/detail/CVE-2025-25181
• https://www.zero-day.cz/database/960/
• https://www.zero-day.cz/database/958/
• https://intezer.com/blog/research/xe-group-exploiting-zero-days/