新聞
觀點
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
解決方案
活動
訂閱電子報
訂閱電子報
新聞
觀點
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
SAP NetWeaver攻擊程式碼公開 美國CISA發布緊急警告
2025 / 08 / 20
編輯部
兩個影響SAP NetWeaver Visual Composer的重大漏洞攻擊程式碼已遭公開釋出,攻擊者可利用漏洞鏈繞過身份驗證並執行任意程式碼。這些漏洞已被美國網路安全暨基礎設施安全局(CISA)加入已知被利用漏洞目錄,確認正遭受積極攻擊,對企業構成嚴重威脅。
重大漏洞詳情
本次曝光的最嚴重漏洞是CVE-2025-31324(CVSS評分10.0),這個影響NetWeaver Visual Composer開發伺服器的授權檢查缺失問題,允許未經身份驗證的攻擊者上傳惡意執行檔案,可能導致整個SAP環境被完全入侵。另一個相關的嚴重漏洞是CVE-2025-42999(CVSS評分9.1),這個存在於SAP NetWeaver Visual Composer開發伺服器中的不安全反序列化漏洞,特權使用者可透過上傳惡意內容威脅系統的機密性、完整性和可用性。
資安公司Onapsis分析指出,攻擊者可繞過身份驗證並以管理員權限執行惡意程式碼,能夠執行作業系統命令、部署Web Shell,並獲得對資料和資源的完全存取權限。值得注意的是,這種攻擊手法不會在系統上留下痕跡,大幅增加了檢測的難度。
攻擊威脅升級
VX Underground在X平台上公布了CVE-2025-31324的漏洞攻擊程式碼,該程式碼原由「Scattered LAPSUS$ Hunters – ShinyHunters」組織在Telegram群組中分享。Pathlock的SAP安全分析師Jonathan Stross警告,
隨著原始程式碼的廣泛流傳,即使是技術能力有限的駭客也能加以利用。這個攻擊程式執行簡單,只需要幾分鐘就能運行,配合AI工具如GPT,即使經驗不足的攻擊者也可能對未修補的組織造成重大損害。
Onapsis研究人員特別關注反序列化攻擊技術的重複利用可能性,指出該技術可能被用於攻擊SAP在2025年7月修補的其他反序列化漏洞,包括CVE-2025-30012(CVSS 10.0)、CVE-2025-42980(CVSS 9.1)、CVE-2025-42966(CVSS 9.1)、CVE-2025-42963(CVSS 9.1)和CVE-2025-42964(CVSS 9.1)。
影響範圍與建議
SAP NetWeaver是多家企業應用程式的核心Web應用平台,廣泛使用於製造、金融、零售、醫療保健和政府等行業的大型企業。Visual Composer開發伺服器通常由企業中負責開發和維護SAP應用程式的IT管理員、開發人員和顧問使用,這些系統往往處理財務、人力資源和供應鏈等重要業務資料。
SAP已在2025年4月的安全修補日發布修補程式,相關安全公告編號為3594142和3604119。Pathlock建議組織立即在所有Java實例上套用這些安全修補程式,同時封鎖或限制對易受攻擊的
/developmentserver/metadatauploader
端點的存取。組織也應利用HTTP日誌、servlet檢查和SIEM警報積極搜尋威脅入侵的跡象。
考慮到這些漏洞的嚴重程度和公開攻擊程式碼的可取得性,企業應該儘快規劃修補工作。若發現系統已遭入侵,應立即隔離受影響的節點、保存相關證據、輪換所有憑證,並從乾淨的基準環境重新建置系統。為協助組織檢測環境中的漏洞,Onapsis與Mandiant合作在GitHub頁面上發布了開源掃描工具。
攻擊程式碼
KEV目錄
反序列化攻擊
最新活動
2026.07.22
2026 政府資安論壇
2026.07.08
AI工具應用資安風險評估管理
2026.07.09
7/9-7/10【軟體開發安全意識與 .NET/Java 安全程式開發】兩日集訓班
2026.07.14
2026迎戰合規新局上市櫃企業資安治理與風險評估實戰解析
2026.07.15
資安新興技術、AI應用與全球發展趨勢解析
2026.07.15
資安新興技術、AI應用與全球發展趨勢解析
2026.07.29
半導體與高科技園區資安防護
2026.07.30
Azure 雲端轉型研討會|雲端 x AI x 資安
看更多活動
大家都在看
超越人類監督:前沿 AI 時代的新挑戰與應對
傳統防火牆只看 IP,語意防火牆看「意圖」:林宜隆教授解析神經符號架構與 AI 治理三標準如何聯手對抗工業化攻擊
群暉科技 Synology 修補 MailPlus Server 三項重大漏洞,逾 2,100 台暴露於網路
PTC Windchill 遠端程式碼執行漏洞納入 KEV 目錄,攻擊者仍持續部署 Web Shell
Sophos 與 Rubrik 攜手推出由 Rubrik Cyber Resilience 技術支援的 Microsoft 365 備份與復原服務
資安人科技網
文章推薦
中國 LLM 漏洞發現能力逼近前沿模型,專家憂攻守差距持續擴大
幻象域名搶註:LLM 幻覺催生新型供應鏈威脅
Microsoft 加速後量子密碼學部署時程,目標 2029 年完成關鍵產品移轉