从Web Shell到完全控制：针对SAP NetWeaver的APT式攻击激增

主要观点总结

Unit 42发布的研究报告披露了SAP NetWeaver Visual Composer Framework（版本7.50）存在的漏洞CVE-2025-31324。该漏洞允许未经认证的攻击者在SAP应用服务器上执行任意操作，导致远程代码执行和系统沦陷。文章详细分析了漏洞的根源和利用方式、攻击工具链、攻击基础设施与时间线，以及给出了相应的防护建议。

关键观点总结

关键观点1: 漏洞CVE-2025-31324的影响和漏洞评分

SAP NetWeaver Visual Composer Framework存在的漏洞CVE-2025-31324被积极利用，CVSS评分高达10.0，允许攻击者在SAP应用服务器上执行任意操作，导致远程代码执行和系统沦陷。

关键观点2: 漏洞的根源和利用方式

漏洞源于/developmentserver/metadatauploader端点缺少授权检查，攻击者可以通过web访问上传恶意文件，包括JSP web shell。

关键观点3: 攻击工具链分析

攻击者使用helper.jsp、cache.jsp和ran.jsp等web shell，并利用后门下载config.sh脚本启动GOREVERSE远程shell工具。此外，还使用了Garble进行混淆，并从特定的恶意IP地址下载载荷。

关键观点4: 攻击基础设施与时间线

攻击者使用Cloudflare Pages等云服务托管载荷，并利用SSH密钥建立回连攻击者控制基础设施的隧道。遥测数据显示漏洞可能在2025年1月已被探测，大规模利用始于同年3月。

关键观点5: 防护建议

鉴于漏洞的严重性，SAP NetWeaver用户应立即应用补丁、监控异常活动，特别是检查对/developmentserver/metadatauploader端点的访问，并检查是否存在已知恶意JSP文件。

文章预览

Unit 42发布的研究报告披露，影响SAP NetWeaver Visual Composer Framework（7.50版本）的漏洞CVE-2025-31324正在被积极利用。这个CVSS评分为10.0的漏洞允许未经认证的攻击者在SAP应用服务器上上传并执行任意文件，导致远程代码执行(RCE)和系统完全沦陷。 Part 01 漏洞根源与利用方式 该漏洞源于/developmentserver/metadatauploader端点缺少授权检查。这个不安全的文件上传处理器允许未认证用户将文件放置到服务器上可通过web访问的目录（如/irj/servlet_jsp/irj/root/），包括恶意的JSP web shell。 Unit 42解释道："攻击者随后可以通过web浏览器访问web shell...并以SAP应用服务器进程的权限执行任意操作系统命令。" 研究人员观察到攻击者部署了helper.jsp、cache.jsp和ran.jsp等web shell，其中后者支持通过cmd参数执行远程命令。攻击者随后通过部署额外工具来提升攻击活动。 Part 02 攻击工具链分析 ………………………………