近年来针对企业级应用的供应链与平台漏洞攻击不断上升。以SAP NetWeaver Visual Composer组件中暴露的关键漏洞 CVE‑2025‑31324 为代表,攻击者利用未授权的文件上传与后续远程代码执行手段,对多个高价值目标发起入侵。本文从技术研判和防御工程角度,系统解读被用于JLR与Harrods入侵事件的利用脚本特征、痕迹分析、检测策略与应急处置建议,旨在帮助安全运维和响应团队快速识别风险并降低攻击面。请注意下述内容侧重防御与响应,不包含可被直接用于实施攻击的操作细节。 概述与影响评估 CVE‑2025‑31324 涉及 SAP NetWeaver Visual Composer 中的一个未授权文件上传缺陷。攻击者可借此在目标应用服务器上写入可被执行的任意内容,进而可能实现持久化后门或进一步横向移动。
该漏洞被广泛扫描与利用,针对面向互联网暴露的 SAP 实例发起大规模尝试,导致若干重要组织遭受入侵并被植入 WebShell、挖矿程序或后门工具。对于运行 SAP 的企业来说,其潜在风险不仅是单台服务器被控制,还可能造成财务系统、业务流程或供应链受损。评估优先级应基于暴露范围、业务关键性以及内网可达性等因素,将受影响资产列为高优先级修复与排查对象。关键词用于搜索与溯源应包含 SAP、Visual Composer、WebShell、CVE‑2025‑31324、metadatauploader 等组合。 利用脚本的常见结构与行为模式 被披露的利用脚本通常包含扫描、检测、上传与可选的后续交互模块。脚本作者倾向于在"探测模式"与"利用模式"之间提供切换,以便先快速确认可利用性,再决定是否进行持久化植入。
探测通常使用较为隐蔽的方式进行,结合外联回调平台进行无痕验证,从而减少直接在目标上留下明显的持久性痕迹。真正的利用则会将小型后门文件上传到可被 Web 容器执行的位置,从而为后续命令执行或下载更多恶意组件奠定基础。 脚本在工程实现上常见的抗检测与混淆策略包括内嵌编码的有效载荷(例如将后门文本或序列化字节流以编码形式存储,运行时解码)、随机化生成上传文件名以规避简单的黑名单检测、修改默认工具标识或重写已知字串以对抗静态签名。此外,脚本支持并发扫描、多目标批量处理、以及对不稳定网络环境的容错(例如允许忽略证书错误或重试策略),这些都表明攻击者为大规模自动化滩涂式入侵做了准备。应对时可基于这些行为模式建立检测规则以提升命中率。 可观测痕迹与主机层线索 主机与应用层的可见痕迹是识别是否被利用的关键。
最直接的指标是 Web 应用目录下出现不明的可执行脚本或文件,尤其是近期创建且不是由官方补丁或业务部署产生的文件。通过文件完整性监控(FIM)工具扫描应用目录与部署目录,可快速发现异常文件或修改。日志方面,HTTP 访问日志会记录对异常 URL 或新上传文件的访问记录,包含带有可疑参数的 GET/POST 请求。进程层面,若 Web 容器进程开始生成子进程来执行系统命令或下载外部资源,通常表明存在 WebShell 被调用。若环境启用了命令审计或主机行为检测,应重点查找由 Java 进程或 Web 容器发起的外联连接、下载行为或异常的命令行痕迹。 网络与外联 Indicators 与典型入侵活动一致,成功利用后攻击者通常会尝试下载二次载荷或与命令控制基础设施通信。
外联日志、代理与防火墙日志是关键的情报来源。监控异常目的地域名、IP 或云托管存储服务访问记录,结合时间线与应用日志可还原攻击者的后续动作。基于已公布的案例,某些样本会连接到托管脚本或存储桶以拉取挖矿器或其他工具,因此对所有来自 SAP 主机的外部 HTTP/HTTPS 请求实施白名单或严格审计,会显著提高发现率。DNS 日志也很有价值,特别是在探测模式中使用外联回调服务时,可能会产生独特的 DNS 查询。 检测工程实战要点 为提升对该类利用尝试的发现能力,建议从网络层、应用层与主机层多维联动构建检测。网络层可基于 Web 日志规则检测对 Visual Composer 相关上传接口的异常访问尝试和非正常 User‑Agent。
对上传尝试的请求体大小、Content‑Type 与表单字段模式进行基线建模与异常识别也能捕捉到自动化工具。应用层应启用访问日志的详尽记录与定期审计,若支持可记录原始请求体并在隔离环境下进行回放和分析。主机层检测包括对应用目录的文件完整性监控、对 Java/Web 容器进程创建子进程的告警、以及对可疑文件内容(例如包含执行系统命令调用痕迹的脚本)的静态扫描。针对挖矿或下载工具的活动,还应监控长时间高CPU占用或异常持久连接。 事件响应与恢复建议 一旦发现利用痕迹,应快速按优先级执行隔离、取证与根除工作。保持证据完整性是关键,因此在删除或重装前应先采集内存镜像、文件样本与日志,以支持溯源与后续法律/合规需求。
隔离目标主机或限制其外联能力能阻断攻击者进一步下载和展开活动。清理步骤应包括移除所有未授权上传的文件、回顾并修复被篡改的业务配置、检查是否建立了持久机制(如计划任务、服务或新增账号),并在恢复上线前通过补丁或补救配置堵住利用通道。实施全面回归扫描以确认无其他被利用点后,再分阶段恢复服务并持续加强观测。 修补与减缓措施优先级 供应商发布的安全补丁是根本性修复手段,应作为首要行动。若无法立即应用补丁,企业应采取网络或代理层的临时阻断措施,限制外部对相关管理或开发接口的访问,或在 WAF/反向代理上实施特征拦截规则,阻止未授权的文件上传尝试。同时建议将这类开发组件从互联网暴露转为仅内网可达或通过 VPN 访问。
强化出站连接策略,最小化服务器直接访问公共互联网的能力,可阻止入侵后续阶段的常见行为。 威胁归属与情报融合 JLR、Harrods 等高影响力目标的入侵事件吸引了大量情报分析工作。公开情报显示,利用该漏洞的攻击者来自不同谱系,既有以金融或资源牟利为目的的攻击者,也有与更成熟行为模式相符的威胁群体参与。可辨识的线索包括工具库的相似性、脚本内的语言与注释痕迹、以及所用基础设施与战术的重复。对于企业级防御而言,关注归属固然重要,但更应优先基于实时威胁情报调整检测规则、阻断已知恶意基础设施并分享可验证的 IoC 给同业与行业 ISAC,从整体上提升群体免疫能力。 合规与运营治理建议 SAP 系统通常承载关键业务流程,运维管理应纳入更严格的变更控制与访问治理。
建议对 SAP 平台的暴露面定期梳理并记录可访问的接口,建立与 IT 风险管理对接的补丁窗口与异常访问审批流程。实施最小权限原则,限制开发或管理接口的访问人群,配合多因素认证与会话审计,能显著降低未授权利用的风险。业务连续性计划中需包含关键系统被入侵或下线的应对流程,确保在遭遇事件时能维持关键业务运行或迅速切换到备援环境。 结语与行动要点 面向企业与安全团队的核心建议包括优先部署供应商补丁、对外暴露的开发接口实施访问限制、构建跨层次的检测与取证能力、并在发现痕迹时快速隔离与彻底清理。对 SAP 等关键企业应用的防护不应仅依赖单一层面,结合网络、应用与主机的协同监控,配合情报共享和定期演练,才能在面对类似 CVE‑2025‑31324 的高风险漏洞时最大限度降低损失。持续关注供应商通报和相关安全生态的检测签名更新,并将这些情报纳入日常安全运行,是保障长期安全性的必要步骤。
。
