CVE-2025-31324 漏洞
安全研究人员已将一个与中国相关的威胁行为者(代号为 Chaya_004)与一个关键 SAP NetWeaver 漏洞(编号为 CVE-2025-31324)的利用联系起来。该漏洞的 CVSS 评分最高,为 10.0,允许攻击者通过易受攻击的 /developmentserver/metadatauploader 端点上传威胁性 Web Shell,从而实现远程代码执行 (RCE)。
该漏洞于2025年4月下旬首次引起关注,当时信息安全团队发现该漏洞正在被广泛利用。攻击者一直在利用该漏洞部署Web Shell和后利用工具,例如Brute Ratel C4。
目录
后果:成为众矢之的行业
自2025年3月以来,该漏洞已被广泛利用于各行各业和地区。据信,最初的利用早在3月12日就已发生,并确认在3月14日至3月31日期间成功入侵。
受影响的行业包括:
- 能源和公用事业
- 制造业
- 媒体和娱乐
- 石油和天然气
- 制药
- 零售和政府组织
这些大规模攻击表明这是一场全球性活动,可能会影响数百个 SAP 系统。
有害基础设施内部
威胁行为者 Chaya_004 一直处于这些活动的前沿,在 IP 地址 47.97.42[.]177 上托管了一个名为 SuperShell 的基于 Web 的反向 shell。该基础设施还暴露出其他可疑元素:
- 端口 3232/HTTP,提供模仿 Cloudflare 的自签名证书
- 通过中国云提供商托管的多种中文工具和服务
与该组织相关的恶意软件工具包括:
- NPS(网络策略服务器) :此工具通常用于管理网络访问策略。攻击者可以利用它来操纵网络流量,从而可能实现未经授权的访问或中断通信。
- SoftEther VPN :一种多功能的开源 VPN 软件,攻击者可以利用它来绕过网络安全并与远程系统建立加密连接,从而帮助在受感染的网络内进行隐秘的数据泄露或横向移动。
- Cobalt Strike :一款广为人知的后漏洞利用工具,用于应对高级持续性威胁。它允许攻击者模拟现实世界的网络攻击,从而能够秘密控制和利用受感染的机器。
- 资产侦察灯塔 (ARL) :一种侦察工具,可帮助攻击者绘制网络资产图、识别漏洞并深入了解网络中的潜在目标,从而有助于发动更有效、更集中的攻击。
- Pocassist :一种旨在协助创建和利用概念验证(PoC)漏洞的工具,帮助攻击者自动化测试漏洞和执行有针对性的漏洞利用的过程。
- GOSINT :一种用于开源情报 (OSINT) 收集的工具,可帮助攻击者收集公开可用的信息以协助侦察,例如员工数据、网络详细信息或其他可用于攻击的敏感信息。
- GO Simple Tunnel :一种简单的隧道工具,攻击者可使用它来绕过防火墙和其他网络安全措施,创建加密隧道,可用于移动未被发现的流量或访问受限系统。
- GO简易隧道
这种复杂的工具包,加上中国基础设施的使用,强烈表明存在来自中国的威胁行为者。
保持领先:防御持续攻击的策略
尽管已发布安全补丁,但补丁发布后,破坏性活动依然存在,这表明先前部署的 Web Shell 正被各种欺诈者(从投机分子到技术娴熟的攻击者)重新利用和扩展。在这种不断演变的威胁环境下,企业必须实施全面的补救措施,包括及时应用官方 SAP 更新、严格限制对易受攻击端点的访问,以及停用 Visual Composer 等非必要服务。
此外,通过持续的系统和日志监控来保持高度警惕,以发现异常行为仍然至关重要。这些防御措施对于遏制进一步入侵的可能性以及维护 SAP 基础设施的运营完整性至关重要。
