SAP 零日漏洞被广泛主动利用

快速阅读: 据《Cyber Scoop 独家新闻》最新报道，研究人员发现一个严重的SAP NetWeaver漏洞（CVE-2025-31324），允许无授权的文件上传和远程代码执行，CVSS评分为10。SAP已发布补丁，但WatchTowr警告称威胁行为者已在野利用此漏洞，大量未修补系统面临风险。

安全研究人员观察到广泛利用了一种影响SAP NetWeaver系统的零日漏洞。这个不受限制的文件上传漏洞——编号为CVE-2025-31324——在CVSS量表上的基础评分达到满分10分，允许攻击者无需授权即可直接上传文件至系统。该软件漏洞影响了SAP NetWeaver中的SAP视觉编排器组件，于本周二由ReliaQuest发现并公布。SAP于周四发布了紧急修复补丁，但企业安全建议仅面向拥有登录凭证的SAP客户。截至发稿，SAP尚未对置评请求作出回应。

“这不是理论上的威胁——它正在实际发生，”WatchTowr首席执行官本杰明·哈里斯在邮件中表示。“WatchTowr观察到威胁行为者正积极利用这一漏洞，在暴露的系统上部署网络后门并获取进一步访问权限。这种活跃的野外利用和广泛影响使得多个组织很可能迅速受到大规模利用的影响。如果你认为还有时间，那你错了。”

研究人员尚不清楚有多少SAP客户已被入侵，但WatchTowr确认其已观察到关键行业中广泛的负面影响。“尝试和探测今天肯定激增了，”哈里斯说。尚不清楚有多少SAP客户已被入侵，但SAP在政府和企业系统中的影响力非常广泛。该公司在全球拥有超过40万客户。

研究人员尚不清楚有多少SAP客户已被入侵，但WatchTowr确认其已观察到关键行业中广泛的负面影响。“尝试和探测今天肯定激增了，”哈里斯说。“SAP解决方案经常被政府机构和企业使用，使其成为攻击者的重要目标，”ReliaQuest的研究人员在一篇博客文章中表示。

在查询互联网服务器搜索引擎Shodan和Censys后，Onapsis估计大约有10,000个SAP实例可能易受攻击。“通过对SAP NetWeaver应用服务器Java进行进一步分析，我们可以估算出大约50%-70%的这些面向互联网的系统确实有该组件可用。这一估计是基于检查目标系统中视觉编排器的标准URL得出的，”Onapsis首席技术官胡安·佩雷斯-埃切戈延在一封电子邮件中表示。

SAP视觉编排器是SAP NetWeaver的建模工具，这是一个支持多种SAP应用程序并与多种来源集成的关键平台。“SAP视觉编排器并非默认安装，因为它曾是业务流程专家开发无代码业务应用组件的核心部分，因此广泛启用，”佩雷斯-埃切戈延在周五的博客文章中表示。

根据哈里斯的说法，这个关键软件漏洞允许未经身份验证的攻击者滥用内置功能将文件上传至SAP NetWeaver实例，并实现完全远程代码执行，从而导致整个系统被全面控制。“我们认为大多数利用发生在漏洞披露之前，我们目前仍相信是同一伙人正在利用易受攻击的系统，”哈里斯说。

研究人员尚未将攻击归因于特定威胁组织，但WatchTowr高度确信初始访问代理是幕后黑手，部署的后门可能已被勒索软件组织购买或使用。“他们计划中的致命漏洞，以及他们现在可能面临的挑战，是部署的后门没有限制谁能利用后门，”哈里斯说。“如今信息已经公开，勒索软件团伙很可能会自行找到部署的后门并绕过对初始访问代理的需求。”

研究人员尚未将攻击归因于特定威胁组织，但WatchTowr高度确信初始访问代理是幕后黑手，部署的后门可能已被勒索软件组织购买或使用。研究人员和事件响应者正在调查多个客户的事件，并敦促SAP NetWeaver用户立即修补其系统。

“情况非常严重，”佩雷斯-埃切戈延说。“我们谈论的是一个CVSS 10级漏洞，可以通过HTTP远程利用，无需认证即可允许完全系统妥协。不仅如此，威胁行为者已经在野外利用了它。”

(以上内容均由Ai生成)