从Web Shell到完全控制：针对SAP NetWeaver的APT式攻击激增

主要观点总结

Unit 42发布的研究报告披露了SAP NetWeaver Visual Composer Framework（版本7.50）存在的漏洞CVE-2025-31324。该漏洞允许未经认证的攻击者在SAP应用服务器上执行任意操作，导致远程代码执行和系统沦陷。文章详细分析了漏洞的根源和利用方式、攻击工具链、攻击基础设施与时间线，以及给出了相应的防护建议。

关键观点总结

关键观点1: 漏洞CVE-2025-31324的影响和漏洞评分

SAP NetWeaver Visual Composer Framework存在的漏洞CVE-2025-31324被积极利用，CVSS评分高达10.0，允许攻击者在SAP应用服务器上执行任意操作，导致远程代码执行和系统沦陷。

关键观点2: 漏洞的根源和利用方式

漏洞源于/developmentserver/metadatauploader端点缺少授权检查，攻击者可以通过web访问上传恶意文件，包括JSP web shell。

关键观点3: 攻击工具链分析

攻击者使用helper.jsp、cache.jsp和ran.jsp等web shell，并利用后门下载config.sh脚本启动GOREVERSE远程shell工具。此外，还使用了Garble进行混淆，并从特定的恶意IP地址下载载荷。

关键观点4: 攻击基础设施与时间线

攻击者使用Cloudflare Pages等云服务托管载荷，并利用SSH密钥建立回连攻击者控制基础设施的隧道。遥测数据显示漏洞可能在2025年1月已被探测，大规模利用始于同年3月。

关键观点5: 防护建议

鉴于漏洞的严重性，SAP NetWeaver用户应立即应用补丁、监控异常活动，特别是检查对/developmentserver/metadatauploader端点的访问，并检查是否存在已知恶意JSP文件。