超過1200個暴露在互聯(lián)網(wǎng)上的SAP NetWeaver實例容易受到一個高嚴(yán)重程度的未經(jīng)身份驗證文件上傳漏洞的攻擊，該漏洞允許攻擊者劫持服務(wù)器。

SAP NetWeaver是一個應(yīng)用服務(wù)器和開發(fā)平臺，可以跨不同技術(shù)運行和連接SAP和非SAP應(yīng)用程序。上周，SAP披露了一個未經(jīng)身份驗證的文件上傳漏洞，跟蹤為CVE-2025-31324，該漏洞存在于SAP NetWeaver Visual Composer中，特別是Metadata Uploader組件。

該漏洞允許遠程攻擊者在沒有身份驗證的情況下在暴露的實例上上傳任意可執(zhí)行文件，從而實現(xiàn)代碼執(zhí)行和整個系統(tǒng)的危害。

包括ReliaQuest、watchtower和Onapsis在內(nèi)的多家網(wǎng)絡(luò)安全公司證實，該漏洞在攻擊中被積極利用，威脅者利用它在易受攻擊的服務(wù)器上投放web shell。

SAP發(fā)言人表示，他們已經(jīng)意識到了這些攻擊，并在2024年4月8日發(fā)布了一個解決方案，隨后在4月25日發(fā)布了一個安全更新，解決了CVE-2025-31324問題。他們沒有發(fā)現(xiàn)任何此類攻擊影響客戶數(shù)據(jù)或系統(tǒng)的案例。

廣泛用于攻擊

研究人員現(xiàn)已證實，許多易受攻擊的SAP Netweaver服務(wù)器暴露在互聯(lián)網(wǎng)上，使其成為攻擊的主要目標(biāo)。

Shadowserver基金會發(fā)現(xiàn)了427個暴露的服務(wù)器，并提醒大量暴露的攻擊面和潛在的嚴(yán)重后果。大多數(shù)易受攻擊的系統(tǒng)位于美國，其次是印度、澳大利亞、德國、荷蘭、巴西和法國等。

然而，網(wǎng)絡(luò)防御搜索引擎Onyphe描繪了一幅更為可怕的畫面，他們發(fā)現(xiàn)，有1284臺易受攻擊的服務(wù)器暴露在網(wǎng)上，其中474臺已經(jīng)被webshell入侵。

Onyphe首席技術(shù)官說道：“大約有20家《財富》500強或全球500強企業(yè)很容易受到攻擊，其中許多企業(yè)都受到了損害。”

研究人員報告說，這些攻擊者正在利用諸如“cache.jsp”和“helper.jsp”這樣的名稱的webshell。然而，Nextron Research表示，他們也使用隨機名稱，這使得發(fā)現(xiàn)易受攻擊的Netweaver實例變得更加困難。

雖然服務(wù)器的數(shù)量并不多，但考慮到大型企業(yè)和跨國公司通常使用SAP NetWeaver，風(fēng)險仍然很大。為了解決該風(fēng)險，建議按照本公告中供應(yīng)商的說明應(yīng)用最新的安全更新。

如果無法應(yīng)用更新，建議采用以下緩解措施：

1.限制對/developmentserver/metadata auploader端點的訪問。

2.如果沒有使用Visual Composer，請考慮完全關(guān)閉它。

3.將日志轉(zhuǎn)發(fā)到SIEM并掃描servlet路徑中未授權(quán)的文件。

參考及來源：https://www.bleepingcomputer.com/news/security/over-1-200-sap-netweaver-servers-vulnerable-to-actively-exploited-flaw/