Unit 42发布的研究报告披露,影响SAP NetWeaver Visual Composer Framework(7.50版本)的漏洞CVE-2025-31324正在被积极利用。这个CVSS评分为10.0的漏洞允许未经认证的攻击者在SAP应用服务器上上传并执行任意文件,导致远程代码执行(RCE)和系统完全沦陷。
Part01
漏洞根源与利用方式
Part02
攻击工具链分析
1. 基于SSH的shell管理
2. 动态转发(SOCKS、SCP、SFTP)
3. 多传输层(HTTP、TLS、WebSockets)
4. 安全通道的双向认证
报告指出:"我们观察到的样本是一个64位ELF二进制文件,使用了名为Garble的开源工具进行混淆...下载自ocr-freespace.oss-cn-beijing.aliyuncs[.]com。"
威胁行为者还利用了强大的C2框架SUPERSHELL,并使用包括47.97.42[.]177和45.76.93[.]60在内的已知恶意IP地址来维持持久访问。
Part03
攻击基础设施与时间线
攻击者使用Cloudflare Pages等合法云服务托管载荷,其中Base64编码的PowerShell脚本托管在d-69b.pages[.]dev。该脚本执行后会:
1. 生成SSH密钥
2. 终止活动的ssh.exe和sshd.exe进程
3. 下载OpenSSH二进制文件
4. 建立回连攻击者控制基础设施的隧道
值得注意的是,Unit 42的遥测数据显示,该漏洞可能在2025年1月就已被探测,大规模利用始于2025年3月,远早于SAP在2025年4月24日的公开披露。
Part04
防护建议
推荐阅读
电台讨论
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论