SAP 关键漏洞开启大门：CVE-2025-31324 漏洞及其全球影响

一个影响全球的严重漏洞

SAP NetWeaver中一个编号为 CVE-2025-31324 的漏洞迅速成为全球 IT 和安全团队关注的焦点。该漏洞的 CVSS 评分最高为 10.0，允许远程攻击者在未经身份验证的情况下在目标系统上执行代码，使其成为最严重的安全风险之一。该漏洞存在于一个暴露的端点： /developmentserver/metadatauploader ，攻击者可以操纵该端点上传恶意的 Web Shell。

此漏洞并非仅存在于理论上。漏洞利用已在野外被发现，因此对于依赖 SAP 强大企业工具的组织而言，及时修补和缓解漏洞至关重要。

广泛且早期的开发

虽然该漏洞最近才公开披露，但取证分析显示，它可能已遭受数月的静默攻击。最早的探测证据可以追溯到2025年1月，实际利用可能始于3月中旬。监控SAP系统的安全公司注意到，在3月14日至3月31日期间，Webshell部署成功，这表明即使在该漏洞广为人知之前，它就已存在主动攻击。

多个行业受到影响，包括能源、制造、零售、政府和媒体机构。这种跨行业影响凸显了 SAP NetWeaver 在全球企业运营中的影响力和重要性，也凸显了此类漏洞为何会造成深远影响。

Chaya_004：一位著名球员登场

利用此漏洞的威胁行为者中，有一个名为Chaya_004的组织，据信位于中国。虽然公众对该组织的了解不多，但研究人员已将其与一系列与此 SAP 漏洞相关的活动联系起来。他们的策略包括部署一个名为SuperShell的基于 Golang 的反向 Shell，以及一系列网络攻击实用程序工具包，例如Cobalt Strike 、SoftEther VPN 和 ARL（资产侦察灯塔）。

值得一提的是，该组织使用的 IP 地址 (47.97.42[.]177) 托管了 SuperShell 后门，并提供了一个伪装成 Cloudflare 的异常自签名证书。这可能是为了通过模仿合法服务来规避检测。

网络犯罪分子之间的竞赛

一旦漏洞被披露，尤其是影响如此巨大的漏洞，一场竞赛就此展开。CVE-2025-31324 也不例外。自其公开曝光以来，多个网络犯罪团伙纷纷加入战局，瞄准未打补丁的系统部署 Web Shell，有时甚至部署加密货币挖矿软件。这些机会主义攻击进一步加剧了形势的复杂化，因为它们使防御者更难区分随机攻击和更有针对性的战略性入侵。

人们对漏洞的广泛兴趣意味着，即使是威胁程度适中的组织也可能成为目标，特别是如果它们延迟实施补丁或未能强化其系统。

对企业安全的影响

CVE-2025-31324 的影响远不止于单个攻击。一旦系统通过远程代码执行被攻陷，攻击者便可以保持持久访问权限、提取敏感数据、跨网络访问或部署其他恶意软件。一些攻击者使用 Brute Ratel C4 等后漏洞利用工具，这暗示着其可能存在包括长期间谍活动或数据泄露在内的高级目标。

在 SAP 系统通常包含核心运营数据的全球商业环境中，此类违规行为的影响可能非常严重——从业务中断到监管后果。

防御与响应：组织应该做什么

安全专家强烈建议立即采取行动。应用 SAP 官方补丁是第一步，也是最关键的一步。此外，组织应限制对易受攻击的元数据上传器端点的访问，并考虑禁用未使用的 Visual Composer 服务。持续监控可疑行为，尤其是 Web Shell 指标，有助于检测正在进行或企图进行的入侵。

Forescout 研究人员指出，即使系统已修复，如果攻击者在修复前安装了 Web Shell，也可能面临风险。因此，响应工作应包括审查系统日志、流量模式和端点行为，以识别入侵迹象。

底线

CVE-2025-31324 有力地提醒我们，威胁行为者能够迅速适应并利用新发现的漏洞。由于全球各行各业都依赖 SAP 执行关键任务，因此风险极高。虽然该漏洞十分严重，但已有明确的防御措施，快速果断采取行动的组织可以显著降低风险。

在网络威胁持续快速发展的环境中，保持知情、警惕和积极主动仍然是最好的防御手段。