近期，新鈦云服安全團(tuán)隊在對客戶 SAP 系統(tǒng)進(jìn)行例行安全檢查時，發(fā)現(xiàn)仍有客戶的SAP系統(tǒng)存在，先前已被披露且廣為人知的 SAP NetWeaver Visual Composer 中的無限制文件上傳漏洞（編號為 CVE - 2025 - 31324）。這一漏洞此前雖已被安全研究界密切關(guān)注，至今卻仍在部分未妥善防護(hù)的系統(tǒng)中肆虐，被黑客們瘋狂利用；基于此情況新鈦云服安全團(tuán)隊，再次對次漏洞進(jìn)行說明，希望能引起大家的重視。

1.漏洞信息

圖片

利用此漏洞，可在公開訪問的目錄中肆意上傳 JSP webshell。該漏洞嚴(yán)重等級高達(dá) 10 級，意味著未經(jīng)身份驗證的普通用戶竟能借此上傳惡意可執(zhí)行二進(jìn)制文件，最終實現(xiàn)遠(yuǎn)程代碼執(zhí)行，這無疑給企業(yè)系統(tǒng)安全撕開了一道巨大的口子。當(dāng)下，攻擊者手段愈發(fā)多樣且狡猾，他們不僅投放 webshell 后門程序，還充分利用該漏洞在易受攻擊的服務(wù)器上挖掘加密貨幣。近期，發(fā)現(xiàn)多個威脅行為者競相加入這場惡意 “狂歡”，利用漏洞大肆部署 web shell 并開展挖礦活動。

2.漏洞原理

原理剖析

CVE-2025-31324 的核心風(fēng)險在于 “無限制文件上傳”，結(jié)合真實攻擊案例發(fā)現(xiàn)攻擊者會掃描互聯(lián)網(wǎng)，定位未修復(fù)漏洞的 SAP NetWeaver Visual Composer 系統(tǒng)；以下是大致的漏洞利用過程。

• 無需身份驗證即可訪問文件上傳功能，繞過系統(tǒng)防護(hù)機(jī)制，上傳包含惡意代碼的可執(zhí)行文件（如 JSP webshell、挖礦程序、惡意的提權(quán)腳本）；

圖片

• 惡意文件被上傳至公開訪問目錄后，攻擊者通過訪問文件觸發(fā)代碼執(zhí)行，獲取系統(tǒng)基礎(chǔ)權(quán)限；
• 若服務(wù)器同時存在提權(quán)漏洞，攻擊者可進(jìn)一步升級為管理員權(quán)限，植入更多惡意程序（如 webshell），并橫向滲透至其他服務(wù)器；
• 挖礦程序后臺運(yùn)行，持續(xù)占用服務(wù)器 CPU、內(nèi)存等資源，為攻擊者生成非法收益；webshell 則作為 “后門”，供攻擊者長期控制服務(wù)器。

3.修復(fù)方案

優(yōu)先安裝官方安全補(bǔ)丁

SAP 已于 4 月 8 日發(fā)布臨時解決方案，并在 4 月 25 日推送正式安全更新，徹底修復(fù) CVE-2025-31324 漏洞。本次事件中，未及時安裝補(bǔ)丁是漏洞被利用的核心原因，企業(yè)需按以下步驟操作：

1. 獲取補(bǔ)丁：登錄 SAP 官方支持網(wǎng)站（https://launchpad.support.sap.com/），在搜索欄輸入漏洞編號 “CVE-2025-31324”，找到對應(yīng) SAP NetWeaver 版本的補(bǔ)丁下載鏈接；
2. 參照指南安裝：下載補(bǔ)丁后，嚴(yán)格按照官方文檔中的步驟執(zhí)行安裝（需注意備份系統(tǒng)數(shù)據(jù)，避免安裝過程中數(shù)據(jù)丟失）；
3. 重啟驗證：安裝完成后重啟 SAP 系統(tǒng)，通過 SAP 自帶的補(bǔ)丁驗證工具（如 SAP Solution Manager）檢查補(bǔ)丁狀態(tài)，確保補(bǔ)丁生效，避免因系統(tǒng)緩存導(dǎo)致補(bǔ)丁未正常加載。

配置白名單訪問

啟用 IP 白名單策略，僅開放客戶、供應(yīng)商等合法主體的指定 IP 訪問權(quán)限，有效阻斷了非法 IP 的入侵嘗試。本次被檢查出存在此漏洞的客戶，幸虧緊急采用了IP白名單，才避免了系統(tǒng)被外部攻擊者進(jìn)一步破壞。通過白名單來減少暴露面的步驟大致如下。

• 梳理需訪問 SAP 系統(tǒng)的合法 IP（如內(nèi)部辦公 IP 段、供應(yīng)商固定 IP、第三方服務(wù) IP），建立詳細(xì)的 IP 清單并定期更新；
• 配置 IP 白名單，僅允許名單內(nèi) IP 訪問 SAP 服務(wù)（包括 Web 界面、API 接口）；
• 針對 IP 頻繁變更的主體（如部分小型供應(yīng)商），可搭配 WAF（Web 應(yīng)用防火墻）接入，通過 WAF 的 “異常訪問檢測” 功能過濾非法請求，避免白名單頻繁調(diào)整導(dǎo)致的管理成本增加。

4.持續(xù)監(jiān)測

漏洞掃描驗證

安裝補(bǔ)丁和設(shè)置訪問限制后，企業(yè)可借助專業(yè)的漏洞掃描工具，如 Onapsis、nuclei等工具進(jìn)行掃描，對 SAP 系統(tǒng)展開全面掃描。以 Onapsis 工具（https://onapsis.com/）為例，首先要確保工具已正確安裝，并精準(zhǔn)配置與企業(yè) SAP 系統(tǒng)的連接。登錄 Onapsis 掃描工具控制臺，審慎選擇要掃描的 SAP 系統(tǒng)實例，在掃描策略中明確選擇針對 CVE - 2025 - 31324 漏洞的專項掃描。啟動掃描后，工具會逼真地模擬黑客攻擊行為，嚴(yán)謹(jǐn)檢測系統(tǒng)是否還存在該漏洞。若掃描結(jié)果清晰顯示不存在相關(guān)漏洞，則說明修復(fù)措施在一定程度上初顯成效。

圖片

業(yè)務(wù)系統(tǒng)運(yùn)行監(jiān)測

在完成漏洞掃描驗證后，還需持續(xù)密切監(jiān)測業(yè)務(wù)系統(tǒng)的運(yùn)行情況。仔細(xì)觀察服務(wù)器的 CPU、內(nèi)存等資源使用率是否恢復(fù)至正常水平。例如，通過服務(wù)器管理系統(tǒng)查看 CPU 使用率，若在修復(fù)前 CPU 長時間處于高負(fù)載（如超過 80%），修復(fù)后能穩(wěn)定在正常業(yè)務(wù)需求的合理范圍內(nèi)（如 30% - 50%），則說明挖礦程序等惡意進(jìn)程已被有效清除。同時，全面檢查業(yè)務(wù)系統(tǒng)的各項功能是否正常運(yùn)行，如訂單處理、數(shù)據(jù)查詢等操作是否流暢，有無延遲或報錯情況。

5.總結(jié)

網(wǎng)絡(luò)安全無小事，尤其是像 SAP 這樣廣泛應(yīng)用于企業(yè)核心業(yè)務(wù)的系統(tǒng)，其安全漏洞即便并非新出現(xiàn)，一旦被利用，后果同樣不堪設(shè)想。希望大家都能高度重視起來，及時、精準(zhǔn)地采取修復(fù)和驗證措施，全力守護(hù)好企業(yè)的網(wǎng)絡(luò)安全防線。如果您在操作過程中有任何疑問，歡迎隨時在評論區(qū)留言，我們將竭誠為您解答。