近期，新鈦云服安全團隊在對客戶 SAP 系統進行例行安全檢查時，發現仍有客戶的SAP系統存在，先前已被披露且廣為人知的 SAP NetWeaver Visual Composer 中的無限制文件上傳漏洞（編號為 CVE - 2025 - 31324）。這一漏洞此前雖已被安全研究界密切關注，至今卻仍在部分未妥善防護的系統中肆虐，被黑客們瘋狂利用；基于此情況新鈦云服安全團隊，再次對次漏洞進行說明，希望能引起大家的重視。

1.漏洞信息

圖片

利用此漏洞，可在公開訪問的目錄中肆意上傳 JSP webshell。該漏洞嚴重等級高達 10 級，意味著未經身份驗證的普通用戶竟能借此上傳惡意可執行二進制文件，最終實現遠程代碼執行，這無疑給企業系統安全撕開了一道巨大的口子。當下，攻擊者手段愈發多樣且狡猾，他們不僅投放 webshell 后門程序，還充分利用該漏洞在易受攻擊的服務器上挖掘加密貨幣。近期，發現多個威脅行為者競相加入這場惡意 “狂歡”，利用漏洞大肆部署 web shell 并開展挖礦活動。

2.漏洞原理

原理剖析

CVE-2025-31324 的核心風險在于 “無限制文件上傳”，結合真實攻擊案例發現攻擊者會掃描互聯網，定位未修復漏洞的 SAP NetWeaver Visual Composer 系統；以下是大致的漏洞利用過程。

• 無需身份驗證即可訪問文件上傳功能，繞過系統防護機制，上傳包含惡意代碼的可執行文件（如 JSP webshell、挖礦程序、惡意的提權腳本）；

圖片

• 惡意文件被上傳至公開訪問目錄后，攻擊者通過訪問文件觸發代碼執行，獲取系統基礎權限；
• 若服務器同時存在提權漏洞，攻擊者可進一步升級為管理員權限，植入更多惡意程序（如 webshell），并橫向滲透至其他服務器；
• 挖礦程序后臺運行，持續占用服務器 CPU、內存等資源，為攻擊者生成非法收益；webshell 則作為 “后門”，供攻擊者長期控制服務器。

3.修復方案

優先安裝官方安全補丁

SAP 已于 4 月 8 日發布臨時解決方案，并在 4 月 25 日推送正式安全更新，徹底修復 CVE-2025-31324 漏洞。本次事件中，未及時安裝補丁是漏洞被利用的核心原因，企業需按以下步驟操作：

1. 獲取補丁：登錄 SAP 官方支持網站（https://launchpad.support.sap.com/），在搜索欄輸入漏洞編號 “CVE-2025-31324”，找到對應 SAP NetWeaver 版本的補丁下載鏈接；
2. 參照指南安裝：下載補丁后，嚴格按照官方文檔中的步驟執行安裝（需注意備份系統數據，避免安裝過程中數據丟失）；
3. 重啟驗證：安裝完成后重啟 SAP 系統，通過 SAP 自帶的補丁驗證工具（如 SAP Solution Manager）檢查補丁狀態，確保補丁生效，避免因系統緩存導致補丁未正常加載。

配置白名單訪問

啟用 IP 白名單策略，僅開放客戶、供應商等合法主體的指定 IP 訪問權限，有效阻斷了非法 IP 的入侵嘗試。本次被檢查出存在此漏洞的客戶，幸虧緊急采用了IP白名單，才避免了系統被外部攻擊者進一步破壞。通過白名單來減少暴露面的步驟大致如下。

• 梳理需訪問 SAP 系統的合法 IP（如內部辦公 IP 段、供應商固定 IP、第三方服務 IP），建立詳細的 IP 清單并定期更新；
• 配置 IP 白名單，僅允許名單內 IP 訪問 SAP 服務（包括 Web 界面、API 接口）；
• 針對 IP 頻繁變更的主體（如部分小型供應商），可搭配 WAF（Web 應用防火墻）接入，通過 WAF 的 “異常訪問檢測” 功能過濾非法請求，避免白名單頻繁調整導致的管理成本增加。

4.持續監測

漏洞掃描驗證

安裝補丁和設置訪問限制后，企業可借助專業的漏洞掃描工具，如 Onapsis、nuclei等工具進行掃描，對 SAP 系統展開全面掃描。以 Onapsis 工具（https://onapsis.com/）為例，首先要確保工具已正確安裝，并精準配置與企業 SAP 系統的連接。登錄 Onapsis 掃描工具控制臺，審慎選擇要掃描的 SAP 系統實例，在掃描策略中明確選擇針對 CVE - 2025 - 31324 漏洞的專項掃描。啟動掃描后，工具會逼真地模擬黑客攻擊行為，嚴謹檢測系統是否還存在該漏洞。若掃描結果清晰顯示不存在相關漏洞，則說明修復措施在一定程度上初顯成效。

圖片

業務系統運行監測

在完成漏洞掃描驗證后，還需持續密切監測業務系統的運行情況。仔細觀察服務器的 CPU、內存等資源使用率是否恢復至正常水平。例如，通過服務器管理系統查看 CPU 使用率，若在修復前 CPU 長時間處于高負載（如超過 80%），修復后能穩定在正常業務需求的合理范圍內（如 30% - 50%），則說明挖礦程序等惡意進程已被有效清除。同時，全面檢查業務系統的各項功能是否正常運行，如訂單處理、數據查詢等操作是否流暢，有無延遲或報錯情況。

5.總結

網絡安全無小事，尤其是像 SAP 這樣廣泛應用于企業核心業務的系統，其安全漏洞即便并非新出現，一旦被利用，后果同樣不堪設想。希望大家都能高度重視起來，及時、精準地采取修復和驗證措施，全力守護好企業的網絡安全防線。如果您在操作過程中有任何疑問，歡迎隨時在評論區留言，我們將竭誠為您解答。