SAP NetWeaver RCE 漏洞 (CVE-2025-31324)：深度剖析、高级威胁与全方位防御策略

2025年5月5日00:37:26评论54 views字数 1949阅读6分29秒阅读模式

针对 SAP NetWeaver 的高危远程代码执行漏洞 CVE-2025-31324，攻击活动仍在持续，已对包括多家世界500强在内的全球企业构成实质性威胁。

SAP NetWeaver：企业数字化引擎，安全重于泰山

SAP NetWeaver 作为 SAP 应用的集成、开发与运行平台，支撑着 ERP、CRM 等核心业务系统，是名副其实的企业“数字引擎”。其一旦失陷，企业运营、数据安全将面临灾难性后果。近期数据显示，美国、印度、澳大利亚、中国等国家均有较多服务器受此漏洞影响。

漏洞技术核心 (CVE-2025-31324)

病灶

位于 Visual Composer 组件内的 Metadata Uploader 功能模块，存在 致命的身份验证逻辑缺陷。
攻击原理

攻击者无需任何凭证，即可向公开暴露的 /developmentserver/metadatauploader 接口直接上传文件。通过精心构造并上传 恶意服务器端脚本（如 JSP 文件），这些脚本会被部署到 Web 服务器的可执行路径下。当被触发执行时，即可在服务器操作系统层面 实现远程代码执行 (RCE)，赋予攻击者完全控制权。
关键时间点

SAP 于 2024 年 4 月 8 日 发现潜在风险并提供临时方案，4 月 25 日 发布正式安全补丁。（编者注：原文 CVE 年份为 2025，但根据事件时间推断应为 2024 年相关事件，此处根据补丁日期修正了上下文年份，CVE 编号保留原文。实际 CVE 可能需要进一步核实。）此时间差为攻击者提供了可乘之机。

高级威胁：隐蔽持久，危害深远

当前攻击者正利用此漏洞部署 Web Shell，建立 持久化访问通道。攻防对抗下，威胁手段趋于复杂：

高级隐蔽技术

为躲避检测，攻击者可能对 Web Shell 进行 代码混淆、加密、分段加载，或采用 随机化文件名和路径。这使得依赖静态签名和特定 IoC 的传统检测方法效果打折。
深度破坏行为

获取初步权限后，攻击者可进行 内部网络渗透、横向移动挖掘更多凭证、窃取 SAP 数据库等核心敏感数据、投放勒索病毒 等一系列高破坏性活动。

据 Onyphe 最新数据，全球 1284 台 暴露服务器受此漏洞威胁，其中高达 474 台 已确认 被成功植入后门，安全形势极其严峻。

全方位防御与缓解：分层、纵深、持续

面对复杂威胁，需构建分层纵深、持续改进的防御体系。

网络层访问控制

通过防火墙、WAF 或 SAP Web Dispatcher/ICM 配置严格的访问控制列表 (ACL)，阻断对 /developmentserver/metadatauploader 端点的访问。注意：此为临时措施，务必评估业务影响，且不能防止所有潜在绕过。
功能级禁用

若确认 Visual Composer 组件非业务必需，应在 NetWeaver 配置层面将其 彻底禁用。注意：操作前必须与业务及应用团队充分沟通确认。

深化日志监控与分析 (SIEM)

将 NetWeaver 的访问日志、应用日志、安全事件日志等送入 SIEM (安全信息和事件管理，用于集中分析安全日志的系统) 平台。重点监控：
常态化文件系统审计

定期或实时扫描 Web 应用部署目录，使用文件完整性监控 (FIM) 和基于签名的恶意软件扫描工具，查找未经授权的文件和已知 Web Shell。
应急预案演练

准备并演练针对此类 Web 应用漏洞的应急响应计划，确保能快速隔离、清除、溯源和恢复。

可利用 开源工具（如 RedRays 发布的 CVE-2025-31324 扫描器） 或 商业漏洞扫描器，对企业内部网络进行主动扫描，识别并定位所有受影响的 NetWeaver 实例。

安全无终点，行动在当下

CVE-2025-31324 漏洞再次敲响了警钟：核心系统的安全防护绝非一劳永逸。面对日益复杂和持续的网络威胁，企业必须 立即行动，修补已知漏洞，同时 持续投入 到漏洞管理、安全监控和应急响应能力的建设中。安全无小事，唯有警钟长鸣，防微杜渐，方能行稳致远。

原文始发于微信公众号（技术修道场）：SAP NetWeaver RCE 漏洞 (CVE-2025-31324)：深度剖析、高级威胁与全方位防御策略

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

AWS实现自动监控新服务