HackerNews 编译,转载请注明出处:
SAP NetWeaver是用于运行和连接SAP与非SAP应用程序的开发平台。
上周,SAP披露了其Visual Composer组件的元数据上传器(Metadata Uploader)中的漏洞。该漏洞允许远程攻击者在未认证的情况下向暴露实例上传任意可执行文件,实现代码执行并完全控制系统。
包括ReliaQuest、watchTowr和Onapsis在内的多家网络安全公司确认该漏洞正被用于攻击,威胁行为者利用其在易受攻击的服务器上部署网页后门程序。
SAP发言人向BleepingComputer表示,已知悉攻击尝试,并于2024年4月8日发布临时缓解方案,随后在4月25日发布修复CVE-2025-31324的安全更新。SAP称目前未发现攻击影响客户数据或系统的案例。
研究人员证实,大量存在漏洞的SAP Netweaver服务器暴露于互联网,成为攻击主要目标。
Shadowserver Foundation发现427台暴露服务器,警告其存在巨大的攻击面且利用后果严重。多数漏洞系统位于美国(149台)、印度(50台)、澳大利亚(37台)、中国(31台)、德国(30台)、荷兰(13台)、巴西(10台)和法国(10台)。
网络安全搜索引擎Onyphe则指出,目前有1,284台漏洞服务器在线暴露,其中474台已被植入网页后门。Onyphe首席技术官Patrice Auffret向BleepingComputer透露:“约20家《财富》500强/全球500强企业存在漏洞,其中多家已遭入侵。”
研究人员发现攻击者使用名为“cache.jsp”和“helper.jsp”的网页后门,但Nextron Research指出其也采用随机文件名以增加检测难度。尽管受影响服务器总量不大,但由于SAP NetWeaver广泛应用于大型企业与跨国公司,风险仍然显著。
建议用户根据SAP公告应用最新安全更新。若无法立即更新,可采取以下临时措施:
- 限制对
/developmentserver/metadatauploader端点的访问若未使用Visual Composer,考虑彻底关闭该组件将日志转发至SIEM系统并扫描servlet路径下的未授权文件RedRays已发布针对CVE-2025-31324的扫描工具,可协助大型环境中的风险定位。
BleepingComputer已就漏洞活跃利用问题联系SAP,将在获得回应后更新报道。
消息来源: bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
