【安全资讯】SAP修复被利用的Netweaver零日漏洞

概要：

SAP近期发布了紧急更新，以修复一个被广泛利用的NetWeaver零日漏洞。该漏洞允许攻击者在未认证的情况下上传恶意文件，可能导致远程代码执行和系统完全控制。此事件的影响范围广泛，涉及多个客户的系统安全。

主要内容：

SAP发布的紧急更新旨在修复一个被标记为CVE-2025-31324的严重零日漏洞，CVSS评分为10.0。该漏洞存在于SAP NetWeaver Visual Composer的Metadata Uploader组件中，攻击者可以在无需登录的情况下上传恶意可执行文件，进而实现远程代码执行。根据ReliaQuest的报告，多个客户因未授权文件上传而受到攻击，攻击者利用该漏洞在公开目录中上传JSP webshell。

这些上传的文件使得攻击者能够通过简单的GET请求执行命令，进行文件管理等操作。在后期的攻击中，攻击者使用了'Brute Ratel'红队工具和'Heaven's Gate'安全绕过技术，并将MSBuild编译的代码注入到dllhost.exe中以实现隐蔽性。watchTowr的CEO Benjamin Harris表示，未认证的攻击者可以利用SAP NetWeaver的内置功能上传任意文件，从而实现完全的远程代码执行和系统控制。

此漏洞影响Visual Composer Framework 7.50，SAP建议用户立即应用最新的安全补丁。此次紧急更新还修复了另外两个严重漏洞，分别是CVE-2025-27429和CVE-2025-31330。对于无法及时更新的用户，建议限制对/developmentserver/metadatauploader端点的访问，并考虑完全关闭Visual Composer。