近期,全球知名企业软件供应商SAP确认了NetWeaver平台存在一项严重的安全漏洞,此漏洞不仅威胁企业系统的安全稳定,更被怀疑正遭黑客利用为零日攻击,实现远程恶意控制。作为广泛应用于大型企业与政府部门的关键平台,NetWeaver的安全性对整个信息生态体系尤为重要。此次漏洞事件引发业内高度关注,极大地敲响了企业安全防护的警钟。 据业内安全研究机构ReliaQuest报告指出,这次漏洞出现在NetWeaver的“/developmentserver/metadatauploader”接口,攻击者利用该接口可上传JSP格式的恶意网络后门文件(web shell),从而在系统中实现持久化远程访问和任意代码执行。令人担忧的是,受影响的系统甚至包括已安装最新安全补丁的环境,表明该漏洞可能是此前未公开的零日缺陷。 JSP网络后门的核心作用在于为攻击者提供非法文件上传渠道,一旦植入系统,威胁方即可凭借该后门扩大攻击范围,包括执行操作系统命令、提取敏感数据以及部署更多恶意载荷。
其中,使用“Brute Ratel C4”等高阶后渗透攻击框架的事件已被确认,结合“天堂门”(Heaven's Gate) 技术绕过终端安全防护,极大提升了攻击的隐蔽性和破坏力。 据悉,该安全漏洞被列为CVE-2025-31324,CVSS风险评分高达满分10.0,反映其极高的危害程度。SAP官方通报显示,该漏洞源于权限验证机制缺失,导致任何未认证用户均可通过HTTP/HTTPS向该易受攻击接口发送精心构造的POST请求,进而上传恶意文件。恢复权限控制不严这一安全缺陷,让系统疏于防范,成为攻击者渗透的重大突破口。 更具威胁性的是,当恶意网络后门获得名为“<sid>adm”的操作系统账户权限后,攻击者将享有SAP应用服务器的全部资源访问权,包括核心系统数据库的完全控制能力。该权限等级使攻击行为几乎毫无限制,攻击者能够窃取企业关键资产、篡改配置乃至彻底摧毁系统稳定性。
同时,相关研究也指出部分攻击者可能是所谓的“初始访问经纪人”,他们通过出售系统访问权限,为其他网络犯罪团伙提供跳板,造成多方持续攻击。 从攻击源头来看,多个工业制造企业已成为主要目标,这些行业对SAP的依赖度极高,系统一旦被攻破,可能对供应链带来严重影响。安全社区数据显示,仅在2025年4月底,全球范围内已发现超过400台暴露漏洞的SAP NetWeaver服务器,其中美国、印度、中国和德国等国家尤为集中。凭借暴露面广泛且漏洞易于利用的特性,企业面临前所未有的网络风险。 针对此次严重漏洞,安全专家建议尽快对系统进行全面扫描,排查JSP后门文件存储路径,典型位置包括SAR应用服务器中的“j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root/”等目录,早期发现能显著减少潜在损失。专业团队也已发布多款开源扫描工具与漏洞检测模板,帮助企业及时识别和防御潜在威胁。
SAP同时已发布紧急安全补丁,建议所有NetWeaver用户务必尽快完成更新并加强系统访问控制,尤其要关注未授权访问问题并强化日志监控。网络安全责任不可外包,企业需提升自身防护意识,建立多层次安全体系以防止未来类似攻击。 而从更宏观的角度看,此次事件彰显了企业IT基础设施面临的数字时代安全挑战。随着云计算、物联网及人工智能技术的普及,攻击手法也愈加多样化和智能化。漏洞修复速度与安全防护深度之间的博弈变得更加激烈。企业安全团队应借鉴事件教训,加快实现零信任架构转型,严格权限管理,强化威胁检测与响应机制,全面提升安全态势感知能力。
此外,业界专家呼吁,应推动供应链安全合作与信息共享,形成综合防护网络。SAP作为核心厂商,应持续投入安全研发,并及时发布安全警告与补丁,为广大用户提供坚实保障。同时,用户端亦需加强合规管理和安全培训,将漏洞、入侵风险降至最低。 总体来看,SAP NetWeaver漏洞事件不仅警示企业必须重视其信息安全防护,更展示了网络安全领域的复杂态势与不断演进的攻击威胁。防患于未然,是企业保障自身商业机密与运营稳定的必由之路。通过多方协作与持续创新,才能构筑起抵御未来网络风暴的钢铁长城。
随着该漏洞的深入研究与防护措施广泛落地,业界期待能有效遏制黑客利用、保障全球业务生态安全稳定发展。
