CVE-2025-31324 漏洞
安全研究人員已將一個名為 Chaya_004 的中國關聯威脅行為者與利用編號為 CVE-2025-31324 的嚴重 SAP NetWeaver 漏洞連結起來。此漏洞的 CVSS 最高評分為 10.0,允許攻擊者透過易受攻擊的 /developmentserver/metadatauploader 端點上傳威脅性的 Web shell 來實現遠端程式碼執行 (RCE)。
該漏洞於 2025 年 4 月下旬首次引起人們的關注,當時資訊安全團隊發現該漏洞正在被廣泛利用。攻擊者一直在使用它來部署 Web Shell 和後漏洞利用工具,例如 Brute Ratel C4。
目錄
後果:成為眾矢之的行業
自 2025 年 3 月以來,該漏洞已在各個行業和地區被廣泛濫用。據信,最初的攻擊早在 3 月 12 日就已發生,並確認成功入侵發生在 3 月 14 日至 3 月 31 日之間。
受影響的行業包括:
- 能源和公用事業
- 製造業
- 媒體與娛樂
- 石油和天然氣
- 製藥
- 零售和政府組織
這些大規模攻擊表明這是一場全球性活動,可能會影響數百個 SAP 系統。
有害基礎設施內部
威脅行為者 Chaya_004 一直處於這些活動的最前沿,在 IP 位址 47.97.42[.]177 上託管了一個名為 SuperShell 的基於 Web 的反向 shell。該基礎設施還暴露出其他可疑因素:
- 連接埠 3232/HTTP,提供模仿 Cloudflare 的自簽名證書
- 透過中國雲端供應商託管的多種中文工具和服務
與該組織相關的惡意軟體工具包括:
- NPS(網路策略伺服器) :此工具通常用於管理網路存取策略。攻擊者可以利用它來操縱網路流量,從而可能實現未經授權的存取或破壞通訊。
這種複雜的工具包,加上中國基礎設施的使用,強烈表明存在來自中國的威脅行為者。
保持領先:防禦持續攻擊的策略
儘管已經發布了安全補丁,但在補丁發布後,破壞性活動仍然存在,這表明以前部署的 Web Shell 正在被各種各樣的欺詐者(從機會主義者到技術高超的對手)重新利用和擴展。在這種不斷演變的威脅環境中,組織必須實施全面的補救措施,包括及時應用官方 SAP 更新、仔細限制對易受攻擊端點的存取以及停用非必要服務(如 Visual Composer)。
此外,透過持續的系統和日誌監控來保持對異常行為的高度警覺仍然至關重要。這些防禦措施對於遏制進一步受到威脅的可能性以及維護 SAP 基礎設施的營運完整性至關重要。
