SAP NetWeaver中发现严重RCE与服务器接管威胁(CVE-2025–31324)
SAP NetWeaver漏洞CVE-2025–31324近期获得了最高的CVSS评分10.0。该无限制文件上传漏洞可被利用来劫持服务器并执行远程代码,且已有多行业大规模滥用的报告。本文概述了CVE-2025–31324的安全风险,并介绍了基于网络威胁情报(CTI)的缓解策略。
CVE-2025–31324:SAP NetWeaver中的严重漏洞
CVE-2025–31324是SAP NetWeaver中的一个严重漏洞,允许未认证攻击者在暴露的实例上执行任意代码,可能导致系统完全受损。该漏洞主要影响启用了Visual Composer且未安装安全补丁的VCFRAMEWORK 7.X版本。由于存在远程代码执行(RCE)风险以及可能向主机系统注入恶意软件,该漏洞获得了10.0的CVSS评分。
通过精心构造的POST请求,攻击者可以上传JSP网页后门等恶意文件,并执行任意系统命令。已有数家全球公司报告了该漏洞被利用的事件。尽管SAP于5月13日发布了补丁,但许多服务器仍然暴露且易受CVE-2025–31324攻击。组织应立即检查其SAP NetWeaver系统的版本和安全状态,并采取紧急措施。
基于CTI的SAP NetWeaver漏洞暴露检测
Criminal IP可以帮助检测受CVE-2025–31324或相关漏洞影响的SAP NetWeaver系统。例如,以下查询可定位公开可访问的SAP NetWeaver应用服务器。
Criminal IP搜索查询:
product: sap netweaver application server
使用Criminal IP进行扫描发现,有2,955台SAP NetWeaver服务器暴露在互联网上。在结果中,部分服务器返回了HTTP状态码200和401。SAP NetWeaver通常用于人力资源、财务、供应链等核心企业系统。
在正确配置安全策略的情况下,敏感或仅限内部访问的URL应返回以下响应之一:
- 401 Unauthorized:需要认证
- 403 Forbidden:访问被拒绝
- 404 Not Found:路径已隐藏
返回200状态码表示该端点无需认证即可访问,并可能接受文件上传。尤其值得注意的是,其中一个结果显示默认的SAP NetWeaver端口50000处于开放状态,且系统运行的版本为7.53,该版本易受CVE-2025–31324攻击。如果在此条件下SAP Visual Composer处于启用状态,则该服务器可被通过CVE-2025–31324利用。
该服务器被识别为自2017年以来就存在未修补的漏洞,仍然是活跃攻击的潜在目标。建议立即采取安全措施。其外部暴露带来了认证绕过、远程代码执行、信息泄露和权限提升的重大风险。
防范CVE-2025–31324的利用
CVE-2025–31324是一个严重漏洞,允许攻击者绕过认证、上传恶意JSP文件并执行远程代码。为防止该漏洞被利用,需要采用多层安全响应策略,不仅要应用技术补丁,还要结合威胁情报(CTI)和攻击面管理(ASM)。
- 应用官方的SAP安全补丁,如非必要,禁用Visual Composer。
- 通过SAP Web Dispatcher或Web应用防火墙(WAF)阻止未授权的POST请求。
- 使用威胁情报工具检测和响应漏洞。
- 通过攻击面管理解决方案监控服务器的外部暴露情况。
结论
SAP NetWeaver是组织核心业务的关键基础设施。其安全漏洞不仅限于系统缺陷,还可能导致重大业务风险。CVE-2025–31324是一个严重漏洞,允许认证绕过、文件上传和远程代码执行,且已有实际被利用的案例。仅应用补丁是不够的。必须采用结合CTI和ASM的多层防御策略,持续监控外部暴露情况,并主动检测攻击指标。
与此相关,您可以参考CVE-2025–32433:Erlang/OTP SSH中的严重RCE漏洞。 CSD0tFqvECLokhw9aBeRqqy7pDVE9jtHSghPeFdiPyEcot6XSwtlxuJCHOQzH/s/lWmDXDO7N+SUaT+lSsQrFRk6+L8nqZQltVPLL1tTD3taeq1eJdVKhJBPtF+4mm62LLJP5DCEfdirkwUAJqqu2VNEFwciiNH1vIo4PH7kuCqRbSe8bIjW0KJjOgVofpbE
