关键漏洞 CVE-2025-31324，一个未经身份验证的文件上传漏洞，已在 SAP NetWeaver Visual Composer 中被发现，其严重程度被评为最高的 10.0 分。安全研究人员观察到，恶意行为者正在积极利用此漏洞上传 JSP webshell，从而获得未经授权的系统访问。报告显示，攻击者正在利用 Brute Ratel 和 Heaven’s Gate 等复杂工具进行后渗透和规避安全检测。此漏洞可能导致完全的系统入侵，使攻击者能够窃取敏感数据、部署勒索软件并在受影响的网络中横向移动。鉴于 SAP 技术在政府机构中的广泛应用，此漏洞尤其令人担忧，成功利用可能导致对政府网络的未授权访问。SAP 已发布补丁 (SAP Security Note 3594142) 以解决此漏洞，建议所有受影响的组织立即应用此补丁并实施其他缓解措施以防止潜在的利用。

背景介绍

SAP NetWeaver 是一种广泛采用的技术平台，是众多关键企业应用的基础，对其组织运营至关重要。SAP Visual Composer 是一款用户友好的基于 Web 的工具，旨在促进基于模型的事务和分析应用程序的快速创建和调整，尤其适用于没有丰富编码知识的业务分析师。虽然 Visual Composer 组件是 SAP NetWeaver 中的一个可选功能，但研究表明，由于其在帮助业务流程专家方面的广泛用途，它在许多现有的 SAP NetWeaver 应用程序服务器 Java 系统中被广泛启用。本报告的主要目标是全面深入地分析关键漏洞 CVE-2025-31324，详细说明其技术特性、观察到的利用趋势、潜在后果以及受影响组织应采取的建议缓解策略。

CVE-2025-31324：技术深入分析

漏洞描述：此漏洞的核心是一个未经身份验证的任意文件上传问题，特别影响 SAP NetWeaver Visual Composer 的 Metadata Uploader 组件。

根本原因：此漏洞的根本原因是应用程序的 Metadata Uploader 功能中缺乏适当的身份验证和授权检查。这使得未经身份验证的用户可以在没有任何权限验证的情况下与特权功能进行交互。此漏洞可归类为 CWE ID：CWE-862 缺失授权或 CWE-306：关键功能的缺失身份验证。

受影响的版本：此漏洞影响 SAP NetWeaver  及其 Visual Composer 组件。

严重性：此漏洞的 CVSS 评分高达 10.0 分，表明其具有最高风险级别，如果成功利用，可能导致完全的系统入侵。

利用方法：此漏洞可通过 HTTP/HTTPS 协议在网络上进行利用。攻击者通过发送精心制作的 POST 请求，将目标指向 /developmentserver/metadatauploader URL。成功利用后，威胁行为者能够上传任意文件，包括恶意代码文件，最常见的是 webshell。观察到的文件名包括 “helper.jsp” 和 “cache.jsp”。上传的文件通常被写入到公开可访问的路径 /j2ee/cluster/apps/sapcom/irj/servlet_jsp/irj/root/ 下 。由于此路径由 SAP NetWeaver 应用服务器提供服务，因此放置在此处的文件可以通过浏览器中的标准 GET 请求远程执行。

JSP Webshell 的功能：攻击者上传的 JSP webshell 包含 Java 代码，该代码能够解析 HTTP 请求中的命令输入，使用 Java 的 Runtime.getRuntime().exec() 在底层操作系统上执行这些命令，并将输出返回到浏览器。这为攻击者提供了对服务器的完全远程代码执行 (RCE) 能力。JSP webshell 通常具有文件管理、命令执行、权限提升、网络扫描、数据窃取、后门安装和横向移动等功能 。观察到的 webshell 能够上传未经授权的文件，进一步控制受损系统，随意执行远程代码，并可能通过将数据放置在公开可访问的目录中来窃取敏感数据 。一些 webshell 样本与公共 GitHub 存储库中的代码相似，该存储库允许通过文件上传实现远程代码执行。

观察到的攻击活动

Brute Ratel C2 部署：攻击者利用 webshell 将编码的 C# payload 写入磁盘（例如，output.txt），然后使用 MSBuild.exe（.NET Framework 的原生构建工具）将其编译和执行。这使得他们能够下载并执行 Brute Ratel，这是一个商业化的红队工具包，用于建立持久的 C2 访问。Brute Ratel 允许代码注入到 Windows 进程（例如 dllhost.exe）中，从而加载和解密内存中的恶意 payload 文件。

Heaven’s Gate：观察到的活动还包括 Heaven's Gate，这是一种将执行上下文从 32 位模式切换到 64 位模式以规避 EDR 检测的技术 。这通过使用 NtSetContextThread 和其他低级系统调用操作来体现。

攻击序列：未经身份验证的文件上传通过 webshell 实现，随后部署 Brute Ratel 进行命令和控制，并使用 Heaven's Gate 进行规避。

使用 Brute Ratel 和 Heaven’s Gate 等复杂工具以及多阶段攻击方法表明，所涉及的威胁行为者可能技术娴熟，并旨在实现持久且隐秘的访问。Brute Ratel 旨在绕过 EDR 的设计使其成为依赖传统安全措施的组织的重大担忧。

潜在影响和风险

完全系统入侵：对包括数据库在内的所有 SAP 资源的完全不受限制的访问。

未经授权的业务活动：修改财务记录、破坏业务数据、删除日志。

勒索软件部署：在 SAP 环境内部和横向部署勒索软件的潜在可能性。

数据泄露：查看和窃取个人身份信息 (PII) 和其他敏感数据。

横向移动：将受损的 SAP 系统用作跳板，以访问其他内部系统。

政府机构面临的更高风险：SAP 技术在政府部门被广泛使用，使其成为攻击者的高价值目标。成功入侵可能使黑客能够进入政府网络。

监管和合规影响：未能解决此漏洞可能导致 IT 控制方面存在缺陷，从而违反监管规定（例如，美国证券交易委员会关于网络安全的规定、欧盟的 NIS2 指令、萨班斯-奥克斯利法案、NERC 标准）。

潜在影响的严重性体现在，它不仅可能导致财务损失和运营中断，还可能导致重大的安全漏洞和违反监管规定。尤其需要强调的是，政府机构对这些系统的依赖凸显了保护这些系统的重要性，因为它们通常处理敏感信息并对国家基础设施至关重要。

SAP 的响应和修复工作

SAP 确认了 SAP NetWeaver Visual Composer 中存在的漏洞，并承认该漏洞可能允许在某些 Java Servlet 中执行未经授权的代码。该公司声称没有发现任何客户数据或系统被破坏的证据。SAP 于 4 月 8 日发布了一个临时解决方案，并正在开发一个将于 4 月 30 日发布的补丁程序。在 Reliaquest 发布研究报告后，SAP 于周四紧急发布了一个补丁 (SAP Security Note 3594142)。SAP 还提供了 SAP Note 3596125，其中包含关于 Security Note 3594142 的常见问题解答，以及 SAP Note 3593336，为无法立即应用补丁的客户提供了临时缓解步骤。值得注意的是，此紧急补丁是在 SAP 定期的 2025 年 4 月更新（于 4 月 8 日发布）之后发布的，这意味着即使应用了该更新的系统仍然容易受到 CVE-2025-31324 的攻击。

SAP 迅速响应并发布紧急补丁凸显了他们对此漏洞的重视程度，尤其是在 Reliaquest 公开披露之后。补丁和临时解决方案的可用性为具有不同修复能力的组织提供了灵活性。紧急补丁是带外发布的这一事实强调了立即应用它的紧迫性，即使最近完成了常规修复周期也是如此。然而，SAP 关于没有影响的声明与安全公司报告的活跃利用尝试相矛盾，这需要受影响的组织仔细考虑并主动调查。

安全研究社区的分析和警告

Reliaquest 最初怀疑是远程文件包含 (RFI) 问题，但 SAP 确认这是一个未经限制的文件上传漏洞。他们警告说，SAP 在政府部门被广泛使用，成功利用可能导致对政府网络的访问。他们观察到攻击者使用 Brute Ratel 和 Heaven’s Gate 进行后渗透攻击，并在 servlet_jsp/irj/root/ 路径中发现了 webshell 8。Reliaquest 认为攻击者可能是一个初始访问代理 (IAB)。他们建议禁用 Visual Composer 并限制对开发服务器的访问，并已增强其检测规则以识别利用尝试。Reliaquest 最初怀疑是 CVE-2017-9844 或未公开的 RFI 漏洞，并确认恶意活动确实利用了新的 CVE-2025-31324 漏洞。

watchTowr 证实了与 CVE-2025-31324 相关的活跃利用。他们观察到威胁行为者正在投放 webshell 后门以获取进一步的访问权限，并警告说极有可能很快看到大规模的利用。他们指出，未经身份验证的攻击者可以滥用内置功能将任意文件上传到 SAP NetWeaver 实例，从而实现完全的远程代码执行和系统入侵。他们观察到该漏洞在关键行业中产生了广泛的影响。

Onapsis 识别出超过 10,000 个连接到互联网的 SAP 应用程序可能因该漏洞而面临被攻击的风险，并估计其中 50% 到 70% 的应用程序启用了易受攻击的组件，可能已经遭到入侵。他们通过其 SAP 威胁情报传感器确认了活跃的利用活动，并敦促客户立即采取行动。Onapsis 强调了完全控制 SAP 关键业务流程的风险，这可能导致间谍活动、破坏和欺诈。他们指出，虽然易受攻击的组件默认情况下未启用，但由于其广泛的用途，通常会被启用。

安全研究社区普遍认为，活跃的利用和潜在的广泛影响证实了情况的紧迫性。Onapsis 对大量潜在易受攻击系统的估计凸显了问题的规模。尽管该组件默认未启用，但由于其对用户的实用性而经常被启用，这显著增加了风险面。

与 CVE-2017-9844 的比较

CVE-2017-9844 是 SAP NetWeaver Visual Composer 的 Metadata Uploader 中较早的一个漏洞，其 CVSS 评分为 9.8（严重）。该漏洞主要用于拒绝服务 (DoS) 攻击和可能的远程代码执行 (RCE)。Reliaquest 最初怀疑新的攻击可能与 CVE-2017-9844 或未公开的 RFI 漏洞有关，因为它们的目标 URI 相同。然而，由于最新的系统也受到了攻击，Reliaquest 认为 CVE-2025-31324 要么是一个全新的漏洞，要么是 CVE-2017-9844 的范围扩大了。CVE-2025-31324 特别是一个未经限制的文件上传漏洞，而 CVE-2017-9844 则与不受信任数据的反序列化有关。

虽然这两个漏洞都影响相同的组件，但 CVE-2025-31324 作为未经身份验证的任意文件上传漏洞，可能比涉及精心制作的序列化 Java 对象的 CVE-2017-9844 更容易被利用进行初始访问。Reliaquest 关于目标 URI 相同的观察表明，针对此特定功能的攻击技术可能有所演变。

结论

CVE-2025-31324 漏洞的严重性极高，并且正在被积极利用。特别是对于依赖 SAP NetWeaver 的政府机构和企业而言，其潜在影响是巨大的。因此，迫切需要立即通过应用补丁程序和实施其他建议的措施来缓解此漏洞。

建议

• 立即应用 SAP Security Note 3594142 补丁程序以修复此漏洞。
• 如果无法立即进行修补，请实施 SAP Note 3593336 中描述的临时解决方案。
• 如果 SAP NetWeaver Visual Composer 对业务运营不是至关重要，则禁用它。Visual Composer 自 2015 年起已弃用，不再受支持。
• 通过防火墙规则限制对 /developmentserver/metadatauploader 端点的访问。禁用应用程序别名 developmentserver。
• 监控 SAP NetWeaver 日志中是否存在可疑活动，尤其来自外部 IP 的针对 /developmentserver/metadatauploader 的 POST 请求以及指定目录中的任何文件上传活动。
• 检查文件系统中 /j2ee/cluster/apps/sapcom/irj/servlet_jsp/irj/root/、/irj/root、/irj/work 和 /irj/work/sync 中是否存在未经授权的 JSP 文件。
• 将 SAP NetWeaver 日志转发到集中式安全信息和事件管理 (SIEM) 系统，以便进行全面监控。
• 如果 Visual Composer 未被积极使用，请考虑完全禁用或卸载它，因为它已被弃用。
• 实施强大的 Web 应用程序防火墙 (WAF) 规则，以检测和阻止针对易受攻击端点的可疑 POST 请求，并监控文件上传尝试。
• 加强对面向互联网的 SAP 应用程序的防御，包括使用强大的 Web 应用程序防火墙和端点检测与响应 (EDR) 工具。

以下表格总结了关键的缓解步骤和受影响的 SAP NetWeaver 版本及其补丁信息：

表 1：关键缓解步骤