警惕! ——SAP 系统漏洞又又又被利用!
近期,新钛云服安全团队在对客户 SAP 系统进行例行安全检查时,发现仍有客户的SAP系统存在,先前已被披露且广为人知的 SAP NetWeaver Visual Composer 中的无限制文件上传漏洞(编号为 CVE - 2025 - 31324)。这一漏洞此前虽已被安全研究界密切关注,至今却仍在部分未妥善防护的系统中肆虐,被黑客们疯狂利用;基于此情况新钛云服安全团队,再次对次漏洞进行说明,希望能引起大家的重视。
1.漏洞信息
图片
利用此漏洞,可在公开访问的目录中肆意上传 JSP webshell。该漏洞严重等级高达 10 级,意味着未经身份验证的普通用户竟能借此上传恶意可执行二进制文件,最终实现远程代码执行,这无疑给企业系统安全撕开了一道巨大的口子。当下,攻击者手段愈发多样且狡猾,他们不仅投放 webshell 后门程序,还充分利用该漏洞在易受攻击的服务器上挖掘加密货币。近期,发现多个威胁行为者竞相加入这场恶意 “狂欢”,利用漏洞大肆部署 web shell 并开展挖矿活动。
2.漏洞原理
原理剖析CVE-2025-31324 的核心风险在于 “无限制文件上传”,结合真实攻击案例发现攻击者会扫描互联网,定位未修复漏洞的 SAP NetWeaver Visual Composer 系统;以下是大致的漏洞利用过程。
无需身份验证即可访问文件上传功能,绕过系统防护机制,上传包含恶意代码的可执行文件(如 JSP webshell、挖矿程序、恶意的提权脚本);
图片
3.修复方案
优先安装官方安全补丁
SAP 已于 4 月 8 日发布临时解决方案,并在 4 月 25 日推送正式安全更新,彻底修复 CVE-2025-31324 漏洞。本次事件中,未及时安装补丁是漏洞被利用的核心原因,企业需按以下步骤操作:
获取补丁:登录 SAP 官方支持网站(https://launchpad.support.sap.com/),在搜索栏输入漏洞编号 “CVE-2025-31324”,找到对应 SAP NetWeaver 版本的补丁下载链接;参照指南安装:下载补丁后,严格按照官方文档中的步骤执行安装(需注意备份系统数据,避免安装过程中数据丢失);重启验证:安装完成后重启 SAP 系统,通过 SAP 自带的补丁验证工具(如 SAP Solution Manager)检查补丁状态,确保补丁生效,避免因系统缓存导致补丁未正常加载。配置白名单访问启用 IP 白名单策略,仅开放客户、供应商等合法主体的指定 IP 访问权限,有效阻断了非法 IP 的入侵尝试。本次被检查出存在此漏洞的客户,幸亏紧急采用了IP白名单,才避免了系统被外部攻击者进一步破坏。通过白名单来减少暴露面的步骤大致如下。
梳理需访问 SAP 系统的合法 IP(如内部办公 IP 段、供应商固定 IP、第三方服务 IP),建立详细的 IP 清单并定期更新;配置 IP 白名单,仅允许名单内 IP 访问 SAP 服务(包括 Web 界面、API 接口);针对 IP 频繁变更的主体(如部分小型供应商),可搭配 WAF(Web 应用防火墙)接入,通过 WAF 的 “异常访问检测” 功能过滤非法请求,避免白名单频繁调整导致的管理成本增加。4.持续监测
漏洞扫描验证安装补丁和设置访问限制后,企业可借助专业的漏洞扫描工具,如 Onapsis、nuclei等工具进行扫描,对 SAP 系统展开全面扫描。以 Onapsis 工具(https://onapsis.com/)为例,首先要确保工具已正确安装,并精准配置与企业 SAP 系统的连接。登录 Onapsis 扫描工具控制台,审慎选择要扫描的 SAP 系统实例,在扫描策略中明确选择针对 CVE - 2025 - 31324 漏洞的专项扫描。启动扫描后,工具会逼真地模拟黑客攻击行为,严谨检测系统是否还存在该漏洞。若扫描结果清晰显示不存在相关漏洞,则说明修复措施在一定程度上初显成效。
图片
在完成漏洞扫描验证后,还需持续密切监测业务系统的运行情况。仔细观察服务器的 CPU、内存等资源使用率是否恢复至正常水平。例如,通过服务器管理系统查看 CPU 使用率,若在修复前 CPU 长时间处于高负载(如超过 80%),修复后能稳定在正常业务需求的合理范围内(如 30% - 50%),则说明挖矿程序等恶意进程已被有效清除。同时,全面检查业务系统的各项功能是否正常运行,如订单处理、数据查询等操作是否流畅,有无延迟或报错情况。
5.总结
网络安全无小事,尤其是像 SAP 这样广泛应用于企业核心业务的系统,其安全漏洞即便并非新出现,一旦被利用,后果同样不堪设想。希望大家都能高度重视起来,及时、精准地采取修复和验证措施,全力守护好企业的网络安全防线。如果您在操作过程中有任何疑问,欢迎随时在评论区留言,我们将竭诚为您解答。
