近年来,随着信息技术的迅速发展,企业对数字化管理系统的依赖愈发增强,SAP作为全球领先的企业资源计划(ERP)软件供应商,广泛应用于金融、财务、供应链和人力资源管理等多个核心领域。近年来,SAP系统的安全性逐渐成为关注焦点,尤其是在高严重性漏洞被发现并被黑客利用后,其潜在的安全风险引发了业界的高度重视。2025年9月,SAP曝出一系列重要安全漏洞,其中特别引人关注的是存在于SAP NetWeaver平台上的一处严重漏洞,给企业 IT 基础设施带来了极大的威胁。此次漏洞的严重程度被评定为10分满分,代表着极高的风险等级,且攻击者无需认证即可通过向开放端口发送恶意负载,执行任意命令,这种反序列化漏洞为远程代码执行敞开了大门。反序列化是数据处理中的一种技术环节,将对象数据结构从存储或传输格式恢复为可执行状态。当此过程存在漏洞时,攻击者有机会通过构造恶意数据,破坏正常的程序逻辑,进而实现远程攻击。
SAP NetWeaver作为众多企业应用的技术基础,其安全漏洞一旦被利用,可能威胁整个企业的系统完整性和数据安全。除了主漏洞CVE-2025-42944之外,SAP还披露了三处其他高危漏洞,评分分别达到9.9、9.6和9.1,显示出一系列安全挑战正向用户逼近。值得注意的是,在SAP发布这些漏洞警告之前,安全公司SecurityBridge已经报告了另一个存在于SAP S/4HANA软件套件中的高危漏洞CVE-2025-42957正在被黑客积极利用。S/4HANA是专为复杂商业处理设计的下一代ERP软件,其安全状况尤为关键。该漏洞的评分同样高达9.9,允许攻击者利用低权限账户,通过特定远程函数调用模块(RFC)配合S_DMIS授权实现系统完全控制。SecurityBridge特别指出,攻击者仅需通过简单手段获得系统基本用户权限,便可低难度地远程执行攻击,无需用户操作,大幅提高了攻击实效。
此类漏洞一旦遭遇 exploit,将严重威胁企业保密性、完整性和可用性,恶意行为可能涵盖数据窃取、企业间谍活动、财务欺诈甚至勒索软件安装,给企业造成灾难性打击。SAP方面强调该漏洞相当于系统后门,一旦攻击成功,几乎等于安全体系全线崩溃,呼吁用户立即采取措施进行修补。除了重点关注的S/4HANA和NetWeaver,SAP还公开了涵盖多个应用和平台的漏洞,包括SAP Business One、Landscape Transformation Replication Server、Commerce Cloud、Datahub、Business Planning and Consolidation、HCM、BusinessObjects Business Intelligence Platform、Supplier Relationship Management和Fiori等产品。这些漏洞的风险等级从3.1至8.8不等,尽管分布广泛,但高评分漏洞仍是修补的首要对象。鉴于这些漏洞背后的技术细节均指向网络攻击面暴露点,企业建议应在最短时间内完成漏洞修补和版本更新。同时,加强网络访问和权限管理,定期进行安全审计与漏洞扫描,堪称避免安全事件发生的紧急措施。
此次安全事件再次凸显了企业级应用系统安全性的重要性,尤其是在数字化转型浪潮和远程办公模式普及的时代背景下。黑客对高价值应用漏洞的攻击趋势日益明显,企业若忽视系统更新和安全防护,将面临更大威胁。SAP安全事件也推动了供应链安全和企业级风险管理的进一步发展,用户应持续关注SAP官方发布的安全公告和补丁信息,确保系统及时防御新兴攻击。总体来看,SAP漏洞事件不仅是技术层面的挑战,更是企业管理与安全文化的考验。提高安全意识、完善权限控制及实施多层次安全策略,是遏制类似安全风险的根本路径。展望未来,企业信息安全体系将持续进化,针对复杂威胁的防护能力需不断提升,以保障关键业务系统和敏感数据的安全,助力企业稳健发展。
。
