最近,安全圈Unit 42发了个报告,点名了一个SAP NetWeaver Visual Composer框架的严重漏洞,编号CVE-2025-31324。这漏洞可不是闹着玩的,CVSS评分直接顶格10.0。简单说,黑客不用登录,就能往你的SAP应用服务器上传文件,然后想干啥干啥,系统直接被端。
01 漏洞的“命门”在哪?
这漏洞的根子,出在/developmentserver/metadatauploader这个上传点上。它居然不做权限检查!这意味着,随便哪个阿猫阿狗都能把文件扔到服务器上,而且还是能通过网页直接访问的目录,比如/irj/servlet_jsp/irj/root/。
黑客们最喜欢干的,就是往这种地方塞一个恶意的JSP网页后门,圈内叫Web Shell。
Unit 42的朋友们解释说,攻击者只要用浏览器访问这个Web Shell,就能在SAP服务器上执行任意系统命令,权限跟SAP应用服务器进程一个级别。
他们观察到,黑客们已经部署了好几种Web Shell,像是helper.jsp、cache.jsp,还有一个叫ran.jsp的,这家伙能通过一个叫cmd的参数远程执行命令。拿到服务器的初步控制权后,攻击者就开始部署更多工具,准备大干一场。
02 黑客的“十八般兵器”
系统被初步攻破后,黑客会通过后门下载一个叫config.sh的脚本。这脚本的作用是启动一个叫GOREVERSE的工具。GOREVERSE是个挺高级的开源远程控制工具,功能不少:
- SSH方式管理Shell,稳得很。
- 动态转发,SOCKS代理、SCP、SFTP文件传输都行。
- 传输层花样多,HTTP、TLS、WebSockets都能用。
- 还有双向认证的安全通道,确保通信不被窃听。
报告里提到,他们抓到的样本是个64位的ELF二进制文件,还用了个叫Garble的开源工具做了混淆,藏得挺深。下载地址指向了一个阿里云OSS:ocr-freespace.oss-cn-beijing.aliyuncs[.]com。
攻击者还用上了一个叫SUPERSHELL的C2框架,这玩意儿更猛,能让黑客牢牢控制住你的系统。他们还用了一些已知的恶意IP地址来保持连接,比如47.97.42[.]177和45.76.93[.]60。
03 攻击的“隐秘角落”与“时间差”
为了藏匿攻击载荷,黑客们也学聪明了,开始用Cloudflare Pages这类合法的云服务。他们把一个经过Base64编码的PowerShell脚本藏在d-69b.pages[.]dev上。这个脚本一旦执行,就会干几件事:
- 生成SSH密钥,方便后续潜入。
- 干掉服务器上正在运行的
ssh.exe和sshd.exe进程,清场。 - 下载OpenSSH的二进制文件。
- 建立一个反向连接隧道,连回黑客控制的服务器。
特别要注意的是,Unit 42的遥测数据显示,这个漏洞最早可能在2025年1月份就有人在探测了。大规模的利用从2025年3月份开始,这可比SAP在2025年4月24号公开披露漏洞早了不少。这种时间差,妥妥的APT攻击手法,防不胜防。
04 SAP用户,赶紧“查漏补缺”
这漏洞利用起来简单,后果又极其严重。各位用SAP NetWeaver的兄弟姐妹们,千万别大意,赶紧行动起来:
- 打补丁!打补丁!打补丁! 重要的事情说三遍。SAP官方肯定已经出了补丁,第一时间打上。
- 盯紧异常活动。 特别是针对
/developmentserver/metadatauploader这个端点的访问,发现不对劲的访问,赶紧查。 - 翻箱倒柜找找可疑文件。 看看服务器上有没有前面提到的那些恶意JSP文件,或者其他不认识的脚本。
这种级别的漏洞,一旦被利用,损失难以估量。别等到系统被黑客搞得底朝天了再后悔。安全这事儿,真不能掉以轻心。
企业在向SAP S/4HANA Cloud转型时,SAP 许可 (License) 从 On-Premise 时代的经典指定用户模型转向全新的 FUE 许可模式,且 SAP 产品的许可 (License) 包含诸如“组件授权、用户授权、计量模式”等复杂模型,这对企业来说如同一个黑匣子,难以理解其工作原理。此外,企业还面临 SAP 的 License 审计等合规性问题。赛锐信息在 SAP License 审计流程方面拥有丰富咨询经验,拥有自主研发的高效 SAP License 资产优化软件产品,欢迎企业在需要时随时联系我们,以获得我们的支持服务和软件产品试用体验。
