SAP NetWeaver攻擊程式碼公開 美國CISA發布緊急警告

兩個影響SAP NetWeaver Visual Composer的重大漏洞攻擊程式碼已遭公開釋出，攻擊者可利用漏洞鏈繞過身份驗證並執行任意程式碼。這些漏洞已被美國網路安全暨基礎設施安全局（CISA）加入已知被利用漏洞目錄，確認正遭受積極攻擊，對企業構成嚴重威脅。

重大漏洞詳情

本次曝光的最嚴重漏洞是CVE-2025-31324（CVSS評分10.0），這個影響NetWeaver Visual Composer開發伺服器的授權檢查缺失問題，允許未經身份驗證的攻擊者上傳惡意執行檔案，可能導致整個SAP環境被完全入侵。另一個相關的嚴重漏洞是CVE-2025-42999（CVSS評分9.1），這個存在於SAP NetWeaver Visual Composer開發伺服器中的不安全反序列化漏洞，特權使用者可透過上傳惡意內容威脅系統的機密性、完整性和可用性。

資安公司Onapsis分析指出，攻擊者可繞過身份驗證並以管理員權限執行惡意程式碼，能夠執行作業系統命令、部署Web Shell，並獲得對資料和資源的完全存取權限。值得注意的是，這種攻擊手法不會在系統上留下痕跡，大幅增加了檢測的難度。

攻擊威脅升級

VX Underground在X平台上公布了CVE-2025-31324的漏洞攻擊程式碼，該程式碼原由「Scattered LAPSUS$ Hunters – ShinyHunters」組織在Telegram群組中分享。Pathlock的SAP安全分析師Jonathan Stross警告，隨著原始程式碼的廣泛流傳，即使是技術能力有限的駭客也能加以利用。這個攻擊程式執行簡單，只需要幾分鐘就能運行，配合AI工具如GPT，即使經驗不足的攻擊者也可能對未修補的組織造成重大損害。

Onapsis研究人員特別關注反序列化攻擊技術的重複利用可能性，指出該技術可能被用於攻擊SAP在2025年7月修補的其他反序列化漏洞，包括CVE-2025-30012（CVSS 10.0）、CVE-2025-42980（CVSS 9.1）、CVE-2025-42966（CVSS 9.1）、CVE-2025-42963（CVSS 9.1）和CVE-2025-42964（CVSS 9.1）。

影響範圍與建議

SAP NetWeaver是多家企業應用程式的核心Web應用平台，廣泛使用於製造、金融、零售、醫療保健和政府等行業的大型企業。Visual Composer開發伺服器通常由企業中負責開發和維護SAP應用程式的IT管理員、開發人員和顧問使用，這些系統往往處理財務、人力資源和供應鏈等重要業務資料。

SAP已在2025年4月的安全修補日發布修補程式，相關安全公告編號為3594142和3604119。Pathlock建議組織立即在所有Java實例上套用這些安全修補程式，同時封鎖或限制對易受攻擊的/developmentserver/metadatauploader端點的存取。組織也應利用HTTP日誌、servlet檢查和SIEM警報積極搜尋威脅入侵的跡象。

考慮到這些漏洞的嚴重程度和公開攻擊程式碼的可取得性，企業應該儘快規劃修補工作。若發現系統已遭入侵，應立即隔離受影響的節點、保存相關證據、輪換所有憑證，並從乾淨的基準環境重新建置系統。為協助組織檢測環境中的漏洞，Onapsis與Mandiant合作在GitHub頁面上發布了開源掃描工具。