SAP 關鍵漏洞開啟大門：CVE-2025-31324 漏洞及其全球影響

一個影響全球的嚴重漏洞

SAP NetWeaver中的一個漏洞（編號為 CVE-2025-31324）已迅速成為全球 IT 和安全團隊關注的一大議題。該漏洞的 CVSS 評分最高為 10.0，允許遠端攻擊者在未經身份驗證的情況下在目標系統上執行程式碼，這使其成為最嚴重的安全風險之一。問題在於一個暴露的端點： /developmentserver/metadatauploader ，攻擊者可以操縱它來上傳惡意的 Web Shell。

這個缺陷不僅僅是理論上的。漏洞已經在野外被發現，因此對於依賴 SAP 強大企業工具的組織來說，及時修補和緩解至關重要。

廣泛且早期的開發

雖然該漏洞最近才被公開披露，但法醫分析顯示，它可能已經遭受了數月的靜默攻擊。最早的探測證據可以追溯到2025 年 1 月，而實際的利用可能始於 3 月中旬。監控 SAP 系統的安全公司注意到，3 月 14 日至 3 月 31 日期間，Webshell 部署成功，這表明在該漏洞被廣泛知曉之前就已經存在主動攻擊。

多個行業受到影響，包括能源、製造業、零售業、政府和媒體組織。這種跨產業影響凸顯了 SAP NetWeaver 在全球企業營運中的影響力和重要性，以及為何這種漏洞會產生深遠的影響。

Chaya_004：一位著名球員登場

利用此漏洞的威脅行為者之一是一個名為Chaya_004的組織，據信該組織位於中國。雖然公眾對該組織的了解不多，但研究人員已將其與一系列與此 SAP 漏洞相關的活動聯繫起來。他們的策略包括部署基於 Golang 的反向 shell（名為SuperShell ），以及一套網路攻擊實用程式工具包，如Cobalt Strike 、SoftEther VPN 和 ARL（資產偵察燈塔）。

一個值得注意的發現是，該組織使用 IP 位址 (47.97.42[.]177) 託管 SuperShell 後門，該後門還提供了一個假裝來自 Cloudflare 的不尋常的自簽名憑證。這可能是透過模仿合法服務來逃避檢測的嘗試。

網路犯罪者之間的競賽

一旦漏洞被揭露，尤其是影響如此之大的漏洞，一場競賽就開始了。 CVE-2025-31324 也不例外。在其公開曝光後，多個網路犯罪集團加入了戰局，瞄準未修補的系統部署 Web Shell，在某些情況下還部署加密貨幣挖礦軟體。這些機會性攻擊使情況更加複雜化，因為它們使防禦者更難區分隨意的利用和更有針對性的戰略入侵。

人們對漏洞的廣泛興趣意味著，即使是威脅程度適中的組織也可能成為目標，特別是如果它們延遲實施修補程式或未能強化其係統。

對企業安全的影響

CVE-2025-31324 的影響不僅限於單一攻擊。一旦系統透過遠端程式碼執行受到攻擊，攻擊者就可以保持持續存取、提取敏感資料、跨網路轉移或部署其他惡意軟體。一些攻擊者使用 Brute Ratel C4 等後利用工具暗示可能包括長期間諜活動或資料外洩的高級目標。

在 SAP 系統通常包含核心營運資料的全球商業環境中，此類違規行為的影響可能非常嚴重——從業務中斷到監管後果。

防禦與回應：組織應該做什麼

安全專家強烈建議立即採取行動。應用官方 SAP 補丁是第一步，也是最關鍵的一步。此外，組織應限制對易受攻擊的元資料上傳器端點的訪問，並考慮在不使用時停用 Visual Composer 服務。持續監控可疑行為，尤其是 Web Shell 指標，有助於偵測正在進行或試圖進行的入侵。

Forescout 研究人員指出，如果攻擊者在修復之前安裝了 Web Shell，即使已經修補的系統仍可能面臨風險。因此，回應工作應包括審查系統日誌、流量模式和端點行為，以識別受損跡象。

底線

CVE-2025-31324 有力地提醒我們，威脅行為者能夠多快地適應和利用新發現的弱點。由於全球各產業都依賴 SAP 來實現關鍵任務功能，因此風險很高。雖然該漏洞很嚴重，但仍有明確的防禦措施，行動迅速果斷的組織可以顯著降低風險。

在網路威脅持續快速發展的環境中，保持知情、警覺和積極主動仍然是最好的防禦手段。