针对 SAP NetWeaver 的高危远程代码执行漏洞 CVE-2025-31324,攻击活动仍在持续,已对包括多家世界500强在内的全球企业构成实质性威胁。
SAP NetWeaver:企业数字化引擎,安全重于泰山
SAP NetWeaver 作为 SAP 应用的集成、开发与运行平台,支撑着 ERP、CRM 等核心业务系统,是名副其实的企业“数字引擎”。其一旦失陷,企业运营、数据安全将面临灾难性后果。近期数据显示,美国、印度、澳大利亚、中国等国家均有较多服务器受此漏洞影响。
漏洞技术核心 (CVE-2025-31324)
- 病灶
位于 Visual Composer 组件内的 Metadata Uploader 功能模块,存在 致命的身份验证逻辑缺陷。 - 攻击原理
攻击者无需任何凭证,即可向公开暴露的 /developmentserver/metadatauploader
接口直接上传文件。通过精心构造并上传 恶意服务器端脚本(如 JSP 文件),这些脚本会被部署到 Web 服务器的可执行路径下。当被触发执行时,即可在服务器操作系统层面 实现远程代码执行 (RCE),赋予攻击者完全控制权。 - 关键时间点
SAP 于 2024 年 4 月 8 日 发现潜在风险并提供临时方案,4 月 25 日 发布正式安全补丁。(编者注:原文 CVE 年份为 2025,但根据事件时间推断应为 2024 年相关事件,此处根据补丁日期修正了上下文年份,CVE 编号保留原文。实际 CVE 可能需要进一步核实。)此时间差为攻击者提供了可乘之机。
高级威胁:隐蔽持久,危害深远
当前攻击者正利用此漏洞部署 Web Shell,建立 持久化访问通道。攻防对抗下,威胁手段趋于复杂:
- 高级隐蔽技术
为躲避检测,攻击者可能对 Web Shell 进行 代码混淆、加密、分段加载,或采用 随机化文件名和路径。这使得依赖静态签名和特定 IoC 的传统检测方法效果打折。 - 深度破坏行为
获取初步权限后,攻击者可进行 内部网络渗透、横向移动挖掘更多凭证、窃取 SAP 数据库等核心敏感数据、投放勒索病毒 等一系列高破坏性活动。
据 Onyphe 最新数据,全球 1284 台 暴露服务器受此漏洞威胁,其中高达 474 台 已确认 被成功植入后门,安全形势极其严峻。
全方位防御与缓解:分层、纵深、持续
面对复杂威胁,需构建分层纵深、持续改进的防御体系。
-
黄金标准:立即应用官方安全补丁
-
此乃 根治之策。务必遵循 SAP 官方指导,尽快为所有受影响的 NetWeaver 系统打上补丁。 -
临时屏障:谨慎采用缓解措施(不可替代补丁)
- 网络层访问控制
通过防火墙、WAF 或 SAP Web Dispatcher/ICM 配置严格的访问控制列表 (ACL),阻断对 /developmentserver/metadatauploader
端点的访问。注意:此为临时措施,务必评估业务影响,且不能防止所有潜在绕过。 - 功能级禁用
若确认 Visual Composer 组件非业务必需,应在 NetWeaver 配置层面将其 彻底禁用。注意:操作前必须与业务及应用团队充分沟通确认。 -
主动狩猎:强化检测与响应能力
-
对 /developmentserver/metadatauploader
端点的 任何访问行为(成功/失败皆需关注)。 -
Web 应用目录下 非预期的文件创建/修改活动,尤其是 .jsp
,.asp
,.php
等脚本文件。 -
源自 Web 服务器进程(如 jstart
,httpd
,tomcat
等)的 可疑出站网络连接。 -
利用威胁情报源,匹配与已知恶意基础设施(IP、域名)的通信。 - 深化日志监控与分析 (SIEM)
将 NetWeaver 的访问日志、应用日志、安全事件日志等送入 SIEM (安全信息和事件管理,用于集中分析安全日志的系统) 平台。重点监控: - 常态化文件系统审计
定期或实时扫描 Web 应用部署目录,使用文件完整性监控 (FIM) 和基于签名的恶意软件扫描工具,查找未经授权的文件和已知 Web Shell。 - 应急预案演练
准备并演练针对此类 Web 应用漏洞的应急响应计划,确保能快速隔离、清除、溯源和恢复。 -
借助工具,主动发现:
-
可利用 开源工具(如 RedRays 发布的 CVE-2025-31324 扫描器) 或 商业漏洞扫描器,对企业内部网络进行主动扫描,识别并定位所有受影响的 NetWeaver 实例。
安全无终点,行动在当下
CVE-2025-31324 漏洞再次敲响了警钟:核心系统的安全防护绝非一劳永逸。面对日益复杂和持续的网络威胁,企业必须 立即行动,修补已知漏洞,同时 持续投入 到漏洞管理、安全监控和应急响应能力的建设中。安全无小事,唯有警钟长鸣,防微杜渐,方能行稳致远。
原文始发于微信公众号(技术修道场):SAP NetWeaver RCE 漏洞 (CVE-2025-31324):深度剖析、高级威胁与全方位防御策略
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论