请尽快更新SAP 安全补丁 Note 3604119 和 3594142

SAP圈的兄弟姐妹们，十万火急！NetWeaver 高危漏洞正被黑客疯狂利用，勒索软件、APT组织已联手突袭！英国天然气水电、美国石油、沙特政府纷纷中招！立即自查，补丁 Note 3604119 火速打上！

SAP NetWeaver 高危漏洞遭全球围猎

警报！警报！SAP NetWeaver 最近爆出的一个致命漏洞，编号 CVE-2025-31324，现在已经成了全球黑客眼中的“顶级猎物”。这漏洞的 CVSS 风险评分直接飙到 10 分满分——意味着一旦中招，后果不堪设想，系统可能瞬间瘫痪！

漏洞的“阿喀琉斯之踵”

这个高危漏洞主要潜伏在 NetWeaver 的 Visual Composer 开发服务器组件中。攻击者一旦得手，就能实现未经任何身份验证的文件上传，紧接着便能远程执行任意代码。简单粗暴地说，黑客根本不需要知道你的密码，就能在你的 SAP 服务器上为所欲为，如入无人之境，最终完全掌控整个系统命脉！

网络安全公司 ReliaQuest 在 2025 年 4 月 22 日首次将此漏洞标记为零日漏洞（Zero-day）——也就是说，在 SAP 官方发布补丁之前，它就已经被黑客掌握并秘密利用了，防不胜防！SAP 官方反应也算迅速，在 4 月 24 日紧急发布了安全补丁，对应的 SAP Note 编号是 3604119。

然而，即便官方补丁已出，大量未能及时更新的系统依旧如同“裸奔”般暴露在猛烈炮火之下。整个五月份，针对这个漏洞的网络攻击就从未停歇，愈演愈烈！

各路黑客“嗅血而动”

ReliaQuest 的安全研究员最初分析，这可能是一个远程文件包含（RFI）漏洞。但随后 SAP 官方确认，这是一个更为凶险的不受限制的文件上传漏洞，黑客可以直接将恶意文件（比如 Web Shell 脚本）堂而皇之地上传到目标系统中。

ReliaQuest 最早在一些 NetWeaver 实例上，就检测到了来自未知攻击者的恶意 Web Shell 活动。他们持续追踪发现，这些 Web Shell 的文件名简直五花八门，除了常见的 helper.jsp 或 cache.jsp，还有像 rrx.jsp 和 dyceorp.jsp 这类看似随机生成的 JSP 文件，都被黑客巧妙地植入到 NetWeaver 的目录深处，成了他们后续渗透的“桥头堡”和“秘密通道”。

时间快进到 5 月 8 日，另一家顶尖安全公司 Forescout Vedere Labs 的研究员，将一部分攻击活动与他们长期追踪的一个名为 “Chaya_004” 的疑似有组织威胁团伙联系了起来。这个团伙可不是什么小毛贼，他们使用了一套相当复杂的攻击“军火库”，包括一个托管着 Supershell 后门的服务器网络（这些服务器往往狡猾地部署在各大云服务商的平台上），外加各种从暗网搜刮来的专业渗透测试工具。

风声鹤唳，紧接着，EclecticIQ 也接连报告了另外三个活跃的 APT 攻击活动——代号分别为 UNC5221、UNC5174 和 CL-STA-0048——这些老牌APT组织同样在疯狂利用这个 NetWeaver 漏洞，目标明确，手法老练。

到了 5 月 14 日，ReliaQuest 再次更新了他们的分析报告，发出了更严峻的警告：最新的威胁情报赫然显示，臭名昭著的俄罗斯勒索软件团伙 “BianLian” 和 “RansomEXX”家族（微软将其追踪编号为“Storm-2460”）的幕后操纵者也已悍然入局！这清楚地表明，多个不同背景、不同类型的黑客组织都对此漏洞表现出极度强烈的兴趣，主要目的还是为了勒索巨额赎金，不择手段。

ReliaQuest 观察到，“BianLian”至少深度参与了一起已确认的攻击事件。另一起事件则涉及到一个名为 “PipeMagic” 的模块化后门程序，这个后门与“RansomEXX”团伙有着千丝万缕的联系，并通过滥用 MSBuild 工具进行传播和持久化。这些经验丰富、手法凶残的老牌勒索软件团伙的加入，无疑将整个安全风险等级推向了前所未有的高度。

屋漏偏逢连夜雨

正当所有 SAP 用户和管理员手忙脚乱地应对 CVE-2025-31324 带来的巨大冲击时，NetWeaver Visual Composer 组件又被爆出第二个零日漏洞，编号为 CVE-2025-42999，CVSS 风险评分高达 9.1！这个漏洞是由 Onapsis 研究实验室的安全专家在深入调查 CVE-2025-31324 攻击事件过程中意外发现的，并已于 5 月 12 日被紧急披露和修复。

SAP 官方不得不在 5 月 13 日再次发布一批紧急安全补丁Note 3604119，其中就包含了针对这个新发现的 CVE-2025-42999 的关键修复程序。

面对如此严峻且瞬息万变的安全态势，所有 SAP 系统管理员和负责人必须立刻警醒，果断行动：

1. 首要且核心任务：火速打补丁！

   • 针对 CVE-2025-31324，务必、务必、务必应用 SAP Note 3604119！
   • 针对新发现的 CVE-2025-42999 及其他相关高危漏洞，也必须尽快应用 SAP 在 5 月 13 日发布的所有相关补丁！

2. 无法立即打补丁的紧急预案是什么？

   • 应立即考虑禁用 Visual Composer 服务。
   • 或者，采取最严格的措施，限制对元数据上传服务的网络访问，缩小攻击面。

3. 加强主动防御与监控：

   • 务必密切监控服务器上的任何可疑或未经授权的活动，特别是针对 Visual Composer 相关路径的异常访问请求和文件变更。

4. 怀疑系统已被“攻陷”怎么办？

   • ReliaQuest 已经发布了一套详细的检测机制和IOC指标，可以帮助安全团队查找那些可疑的 JSP Web Shell 及其活动痕迹。

请务必清醒地认识到，如果企业的 SAP 系统未及时打上相关补丁或未采取有效的缓解措施，CVE-2025-31324 漏洞一旦被成功利用，极有可能导致灾难性的后果：从关键业务服务中断、核心敏感信息泄露、用户凭证大规模被盗，到黑客在企业内网肆意横向移动，甚至最终可能引发违反数据安全法规的严重法律责任和巨额罚款。

企业在向SAP S/4HANA Cloud转型时，SAP 许可 (License) 从 On-Premise 时代的经典指定用户模型转向全新的 FUE 许可模式，且 SAP 产品的许可 (License) 包含诸如“组件授权、用户授权、计量模式”等复杂模型，这对企业来说如同一个黑匣子，难以理解其工作原理。此外，企业还面临 SAP 的 License 审计等合规性问题。赛锐信息在 SAP License 审计流程方面拥有丰富咨询经验，拥有自主研发的高效 SAP License 资产优化软件产品，欢迎企业在需要时随时联系我们，以获得我们的支持服务和软件产品试用体验。