美國網路安全暨基礎設施安全局 (Cybersecurity and Infrastructure Security Agency, CISA) 於本週一將五個安全漏洞納入已知被利用漏洞目錄 (Known Exploited Vulnerabilities Catalog, KEV),正式證實這些漏洞已在實際攻擊中被武器化。其中包括 Oracle E-Business Suite 的兩個高危漏洞、Windows SMB 權限提升漏洞,以及 Kentico CMS 和 Apple JavaScriptCore 的安全缺陷,顯示攻擊者正全方位瞄準企業關鍵基礎設施。
Oracle EBS 雙重威脅
CVE-2025-61884(CVSS 評分 7.5)是 Oracle Configurator 執行時期元件中的伺服器端請求偽造 (Server-Side Request Forgery, SSRF) 漏洞,可讓攻擊者在不需要身份驗證的情況下遠端存取關鍵資料。
CVE-2025-61882(CVSS 評分 9.8),這個關鍵漏洞允許未經身份驗證的攻擊者在受影響的 Oracle EBS 實例上執行任意程式碼。Google 威脅情報團隊 (Google Threat Intelligence Group, GTIG) 和 Mandiant 揭露,數十家組織可能已因此漏洞受害。
GTIG 資深安全工程師 Zander Work 表示:「我們觀察到的部分利用活動很可能是由現在進行 Cl0p 品牌勒索行動的攻擊者所為。」若確認與 Cl0p 勒索軟體集團有關,企業可能面臨資料外洩與勒索的雙重威脅。
Windows SMB 權限提升已遭積極利用
CVE-2025-33073(CVSS 評分 8.8)是 Microsoft Windows SMB 用戶端的不當存取控制漏洞,影響所有 Windows Server、Windows 10 版本,以及 Windows 11 系統(包含最新的 24H2 版本)。
攻擊者可執行特製的惡意腳本,強制受害機器使用 SMB 連線回攻擊系統並進行身份驗證,最終提升至 SYSTEM 權限。Microsoft 在今年 6 月的 Patch Tuesday 已修補此漏洞,但 CISA 證實該漏洞正遭積極利用。
這個漏洞的發現者包括 CrowdStrike、Synacktiv、Google Project Zero 等多個知名安全團隊。多個獨立團隊同時發現同一漏洞,通常意味著該漏洞較容易被發現和利用。
Kentico CMS 身份驗證繞過
CISA 同時新增兩個影響 Kentico Xperience CMS 的漏洞:CVE-2025-2746 和 CVE-2025-2747,兩者 CVSS 評分都高達 9.8。這些身份驗證繞過漏洞允許攻擊者利用 Staging Sync Server 在處理密碼時的缺陷來控制管理物件。
對依賴 Kentico 管理網站內容的企業來說,這可能導致網站被篡改、植入惡意程式碼,或竊取儲存在 CMS 中的敏感資訊。Kentico 已在今年 3 月修補這些漏洞,但 watchTowr Labs 研究人員已分享相關技術細節。
舊漏洞新威脅
最後一個被納入的是 CVE-2022-48503(CVSS 評分 8.8),這是 Apple JavaScriptCore 元件中的陣列索引驗證不當漏洞。儘管 Apple 早在 2022 年 7 月就已修補,但現在才被列入 KEV 目錄,顯示攻擊者可能最近才開始積極利用這個老舊漏洞。
企業應變策略
CISA 要求聯邦民事執行部門機構必須在 11 月 10 日前完成修補,同時強烈建議私營企業儘速採取行動。企業應立即採取以下行動:
- 優先修補 KEV 漏洞:特別是 Oracle EBS 和 Windows SMB 漏洞,影響範圍廣且利用門檻低
- 全面盤點資產:確認使用哪些版本的受影響系統
- 實施補償性控制:限制 SMB 流量、加強 Oracle EBS 存取控制
- 加強監控:部署端點偵測與回應 (Endpoint Detection and Response, EDR) 解決方案
這五個漏洞涵蓋從作業系統到企業資源規劃系統,顯示攻擊者對企業 IT 架構的全方位理解。在數位轉型浪潮中,資安已成為企業永續經營的必要條件,而非選項。