近年多起面向大型企业的入侵事件中,SAP 平台再次成为攻击目标。JLR(捷豹路虎)与 Harrods 等知名组织遭受的入侵案,均与一款针对 SAP NetWeaver Visual Composer 的利用脚本有关。该漏洞已被标识为 CVE-2025-31324,其核心为开发服务器组件在文件上传处理上缺乏必要的授权与校验,允许未认证的请求将任意文件写入应用可访问的目录,从而导致远程代码执行风险。本文以技术与实务结合的视角,梳理利用脚本的结构与运行逻辑,说明防御检测的关键点,并给出响应与修复建议,便于安全团队迅速评估与处置暴露面。 漏洞本质可被概括为未经授权的文件上传与后续代码执行链路。Visual Composer 的 metadatauploader 端点在接收 multipart/form-data 上传时对文件类型、上传者身份以及写入目标缺乏有效限制,攻击者可借此将服务器端可执行的 Web 资源(如 JSP)放置到 Web 根目录或应用可访问的位置。
上传成功后,访问该文件即可触发服务器端的逻辑,使得任意操作在 SAP 服务账户权限下执行;在许多部署中,SAP 服务账户拥有较高系统权限,因而造成的影响极大。 对流传于犯罪组织与安全社区的利用脚本进行横向比对,可以看到其设计遵循典型攻击工具的工程化思路。脚本通常具备探测与利用两种模式:探测模式以最小冲击方式验证目标是否存在易受攻击的上传点,常常借助外联回调(OAST)或序列化触发的侧信道来确认漏洞可利用性;利用模式则直接将后门型 Web 资源上传并(可选地)触发以确认执行。为了规避静态检测与便于批量化运行,脚本会采用负载编码、文件名随机化、多线程并发与对旧版 SSL 的兼容选项等实用特性。 在 payload 设计方面,攻击者偏好使用容易被容器或 Java 应用加载执行的格式。JSP 类型的 Web shell 是常见选择,其代码会读取请求参数并调用底层的命令执行接口以运行系统命令,然后把输出回显给请求方。
高级攻击者还可能准备复杂的二进制发布包(如 WAR、JAR)或包含反序列化 gadget 的序列化对象,用以触发 OAST 回显或实现内存级别的活动。为了减少在源码层面的可见性,攻击脚本常将有效载荷以 Base64 等形式存储于自身,执行时再解码上传,从而使静态特征更难被签名检测发现。 可观测的攻击链条在网络与宿主层面都会留下多种可供侦测的痕迹。网络层面异常包括针对开发管理路径的 HTTP POST 请求、请求头带有自动化工具特征(如 python-requests 等通用 User-Agent)以及 multipart/form-data 中 filename 字段指向 .jsp、.war、.jar 等可执行后端资源的上传尝试。宿主层面则常见未授权的 JSP 文件突然出现在 Visual Composer 或 SAP Portal 的 Web 根目录以及编译缓存目录中;这些文件往往在时间戳上与可疑外发请求时间一致,并包含系统命令执行相关的字符串模式(如 Runtime.getRuntime().exec 或 base64 解码链)。此外,遭到利用的主机通常会伴随可疑的出站流量,用于下载二进制后门、联结命令控制服务器或拉起加密货币挖矿程序。
为提高检测命中率,应重点在 Web 访问日志、应用层访问控制以及主机进程监控上配置告警。检测规则可聚焦于对 developmentserver 或 visual composer 相关路径的未经认证请求、multipart 上传中出现可执行文件扩展名、以及 Web 应用进程派生 shell 或网络工具的异常行为。同时,运维与安全团队应启用文件完整性监控,定期扫描 SAP Web 应用目录以发现新近落地的 JSP/WAR 文件并核验其合法性。多家安全厂商与开源社区已发布针对该漏洞的检测模板与 IOA 策略,组织可以将这些模板整合至漏洞扫描、Nuclei、SIEM 与 EDR 工作流中,加速全网梳理与补救。 在减轻与防护层面,首要且最有效的措施是尽快应用厂商发布的安全修补。SAP 在事件曝光后已提供补丁与缓解建议,建议所有运行 Visual Composer 组件的 NetWeaver 实例优先完成补丁部署。
补丁无法替代事后取证,因此在施补前后应并行进行内网搜查,确认是否存在已上传的后门文件并保全证据以利调查。对无法立即打补丁的环境,应当通过网络层进行紧急隔离或在边界处阻断对 metadatauploader 等开发接口的外部访问。作为临时性对策,可在反向代理或 WAF 王朝处拦截含可疑文件扩展名的上传请求,或限定可访问资源的源 IP 范围。 事故响应过程中既要消除可见的持久化载体,也要评估可能的横向渗透与数据外泄风险。发现后门文件后应将其离线保存用于分析,再进行清除;同时追踪与之相关的访问日志与子进程痕迹,以判断攻击者是否取得更高权限或部署了额外组件。若检测到出站连接到不明域名或存储服务,应追查下载链并排查是否有二次部署的恶意二进制。
对关键 SAP 系统而言,全面审计系统账号、服务账户的登录历史与敏感操作记录至关重要,许多攻击者会利用最初的 Web shell 进行凭据搜集与横向移动。 关于威胁归属与攻击动机,公开情报显示该漏洞被多类威胁群体利用,从犯罪组织到疑似国家支持的攻击者均曾被观测到利用相同或类似工具进行入侵。攻击目标包含金融、零售与汽车制造等多个行业,表明攻击者既有以盈利为目的的恶意挖矿或勒索活动,也可能有以情报收集为目的的定向行动。在代码样本与操作者交互痕迹中,有分析指出存在特定的语言风格、注释与伪装字符串用于规避检测,这些特征可作为工具家族追踪的线索,但单一语料不应作为确定归属的唯一证据。 面向未来的安全建设应将 SAP 系统纳入更严格的攻防常态化管理范畴。建议组织在常态化合规与运维之外,建立专门的 SAP 风险管理矩阵,明确哪些管理接口必须对外暴露与哪些应仅在内网或受控跳板上可达。
加强对应用层上传行为的白名单策略、长期运行的文件完整性审计以及针对 Java 平台的进程行为监控,会显著降低类似文件上传类漏洞被滥用后的破坏面。安全团队还应定期演练针对 Web shell 的检测与清理流程,并将补丁、配置与响应流程纳入变更管理,以缩短从漏洞确认到系统修复的时间窗口。 综上所述,CVE-2025-31324 的爆发性利用再次提醒企业,传统企业级应用一旦在边界处出现管理或开发功能的外部暴露,将迅速被自动化工具化的攻击者发现并利用。技术防护、流程管理与持续监测三者缺一不可。对于已受影响的组织,快速部署供应商补丁、全面排查潜在后门、加强出站流量控制与配合威胁情报进行目标化追踪,是遏制事件扩大并恢复信任的必经之路。对未受影响的组织,则应将此次事件作为检验供应链与配置硬化能力的机会,适时提升对 SAP 生态的可视化与应急响应准备,从根本上降低未来被类似利用的风险。
。
