SAP NetWeaver Visual Composer远程代码执行漏洞分析

漏洞概述

MS-ISAC 通告编号：2025-044
发布日期：2025年4月25日

在SAP NetWeaver Visual Composer中发现了一个严重漏洞，可能允许攻击者实现远程代码执行。SAP NetWeaver Visual Composer是SAP基于Web的软件建模工具，使业务流程专家和开发人员无需编码即可创建业务应用程序组件。

威胁情报

ReliaQuest和watchtower已确认CVE-2025-31324正在被积极利用。

受影响系统

VCFRAMEWORK 版本 7.50

风险等级

• 政府机构：大型和中型政府实体 - 高风险；小型政府实体 - 中风险
• 企业：大型和中型企业实体 - 高风险；小型企业实体 - 中风险
• 家庭用户：低风险

技术细节

战术：初始访问（TA0001）
技术：利用面向公众的应用程序（T1190）

SAP NetWeaver Visual Composer元数据上传器未受到适当的授权保护，允许未经认证的攻击者上传可能有害的可执行二进制文件，严重危害主机系统。这可能显著影响目标系统的机密性、完整性和可用性。（CVE-2025-31324）

成功利用此漏洞可能允许在系统上下文中执行远程代码。

修复建议

1. 软件更新与漏洞管理

• 在适当测试后立即应用SAP提供的相应更新（M1051：更新软件）
• 建立并维护企业资产的漏洞管理流程（保障措施7.1）
• 建立基于风险的修复策略，每月或更频繁审查（保障措施7.2）
• 每月或更频繁通过自动化补丁管理执行应用程序更新（保障措施7.4）
• 季度或更频繁执行内部企业资产的自动化漏洞扫描（保障措施7.5）
• 每月或更频繁修复检测到的漏洞（保障措施7.7）

2. 网络基础设施安全

• 确保网络基础设施保持最新状态（保障措施12.1）
• 建立和维护安全的网络架构（保障措施12.2）

3. 权限管理

• 对所有系统和服务应用最小权限原则
• 以非特权用户身份运行所有软件（M1026：特权账户管理）
• 管理企业资产和软件上的默认账户（保障措施4.7）
• 建立和维护服务账户清单（保障措施5.5）

4. 渗透测试与安全评估

• 建立和维护渗透测试计划（保障措施18.1）
• 定期执行外部渗透测试（保障措施18.2）
• 修复渗透测试发现的问题（保障措施18.3）
• 执行应用程序渗透测试（保障措施16.13）

5. 网络分段与保护

• 使用网络分段隔离关键系统（M1030：网络分段）
• 使用DMZ包含不应从内部网络暴露的面向互联网的服务
• 配置单独的VPC实例以隔离关键云系统

6. 利用防护

• 使用功能检测和阻止可能导致或指示软件利用发生的条件（M1050：利用防护）
• 在可能的情况下启用反利用功能（保障措施10.5）

参考资源

• BleepingComputer：SAP修复疑似NetWeaver零日漏洞
• CVE详情页面
• ReliaQuest安全通告

订阅更新

订阅通告信息中心，及时获取此类网络威胁的最新信息。