安全研究人員警告稱，黑客正在積極利用SAP NetWeaver Visual Composer中一個(gè)關(guān)鍵的無限制文件上傳漏洞。

該漏洞(編號為CVE-2025-31324)可能會使未經(jīng)身份驗(yàn)證的用戶上傳惡意可執(zhí)行二進(jìn)制文件，該漏洞的嚴(yán)重等級為10。

Reliaquest的研究人員在調(diào)查中發(fā)現(xiàn)攻擊者將JSP webshell上傳到可公開訪問的目錄中后，向SAP披露了這一漏洞。

研究人員最初懷疑黑客是在利用一個(gè)編號為CVE-2017-9844的舊漏洞，或者是一個(gè)未報(bào)告的遠(yuǎn)程文件包含漏洞，然而，Reliaquest觀察到的是最新系統(tǒng)的受損情況。

“漏洞CVE-2017-9844是針對拒絕服務(wù)(DoS)和可能的遠(yuǎn)程代碼執(zhí)行(RCE)(未提及RFI)與對同一URI的請求相關(guān)的，因此，我們認(rèn)為這是全新的漏洞或是范圍擴(kuò)大。”Reliaquest的一位發(fā)言人在周二向Cybersecurity Dive表示。

Reliaquest的研究人員警告稱，SAP技術(shù)在政府機(jī)構(gòu)中廣泛使用，一旦成功入侵，可能會使黑客進(jìn)入政府網(wǎng)絡(luò)。

據(jù)Reliaquest稱，攻擊者正在使用Brute Ratel和Heaven’s Gate進(jìn)行執(zhí)行和逃避檢測。

SAP的一位發(fā)言人證實(shí)，該公司已被告知SAP NetWeaver Visual Composer中存在一個(gè)漏洞，該漏洞可能允許在特定的Java Servlets中未經(jīng)身份驗(yàn)證和授權(quán)的代碼執(zhí)行。

該公司表示，尚未了解到任何客戶數(shù)據(jù)或系統(tǒng)受損的情況，它于4月8日發(fā)布了一個(gè)臨時(shí)解決方案，并正在開發(fā)一個(gè)補(bǔ)丁，將于4月30日提供。

SAP的一位發(fā)言人在Reliaquest的研究發(fā)布后證實(shí)，周四發(fā)布了一個(gè)緊急補(bǔ)丁。Reliaquest和Onapsis的研究人員在他們的博客文章中指出，已經(jīng)發(fā)布了一個(gè)緊急補(bǔ)丁。

盡管SAP保證沒有立即產(chǎn)生影響，但安全公司正在報(bào)告針對該漏洞的持續(xù)攻擊嘗試。

watchTowr的研究人員發(fā)現(xiàn)，威脅行為者正在投放webshell后門程序并獲得進(jìn)一步訪問權(quán)限。

“這種在野外積極利用漏洞和廣泛影響的情況，使得我們很快就會看到多方大規(guī)模利用漏洞的可能性極大，”watchTowr的首席執(zhí)行官Benjamin Harris通過電子郵件向Cybersecurity Dive表示。“如果你以為還有時(shí)間，那就沒有了。”

Onapsis Research Labs的CEO Mariano Nunez表示，Onapsis已確定有10000多個(gè)面向互聯(lián)網(wǎng)的SAP應(yīng)用程序可能因該漏洞而面臨泄露風(fēng)險(xiǎn)。

Nunez補(bǔ)充道，“其中50%-70%的應(yīng)用程序已啟用易受攻擊的組件，并可能已經(jīng)遭到入侵。”

不過，該易受攻擊的組件默認(rèn)并未啟用，因此Onapsis正在確認(rèn)易受影響的系統(tǒng)數(shù)量。

網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)正在按照標(biāo)準(zhǔn)程序跟蹤該漏洞，并與供應(yīng)商和其他合作伙伴合作，以確定是否需要進(jìn)一步的溝通，一位發(fā)言人向Cybersecurity Dive表示。