SAP NetWeaver Visual Composer远程代码执行漏洞分析
安全通告信息
- MS-ISAC通告编号: 2025-044
- 发布日期: 2025年4月25日
漏洞概述
在SAP NetWeaver Visual Composer中发现了一个可能导致远程代码执行的漏洞。该产品是SAP基于Web的软件建模工具,允许业务流程专家和开发人员在无需编码的情况下创建业务应用程序组件。成功利用此漏洞可在系统上下文中执行远程代码。
威胁情报
ReliaQuest和watchtower已确认CVE-2025-31324正在被积极利用。
受影响系统
- VCFRAMEWORK 7.50版本
风险等级
- 政府机构:
- 大中型政府实体:高风险
- 小型政府实体:中等风险
- 企业:
- 大中型企业实体:高风险
- 小型企业实体:中等风险
- 家庭用户: 低风险
技术细节
战术: 初始访问(TA0001) 技术: 利用面向公众的应用程序(T1190)
SAP NetWeaver Visual Composer元数据上传器缺乏适当的授权保护,允许未经身份验证的攻击者上传可能对主机系统造成严重危害的恶意可执行二进制文件。这可能严重影响目标系统的机密性、完整性和可用性。(CVE-2025-31324)
成功利用此漏洞可在系统上下文中执行远程代码。
修复建议
软件更新
- 经过适当测试后立即为易受攻击的系统应用SAP提供的相应更新(M1051: 更新软件)
漏洞管理
- 保障措施7.1: 建立和维护企业资产的文档化漏洞管理流程
- 保障措施7.2: 建立和维护基于风险的修复策略
- 保障措施7.4: 每月或更频繁地通过自动补丁管理执行应用程序更新
- 保障措施7.5: 每季度或更频繁地执行内部企业资产的自动漏洞扫描
- 保障措施7.7: 基于修复流程每月或更频繁地修复检测到的漏洞
网络基础设施
- 保障措施12.1: 确保网络基础设施保持最新状态
- 保障措施12.2: 建立和维护安全的网络架构
权限管理
对所有系统和服务应用最小权限原则。以非特权用户身份运行所有软件以减少成功攻击的影响(M1026: 特权账户管理)
- 保障措施4.7: 管理企业资产和软件上的默认账户
- 保障措施5.5: 建立和维护服务账户清单
渗透测试
- 保障措施18.1: 建立和维护适合企业规模、复杂性和成熟度的渗透测试程序
- 保障措施18.2: 基于程序要求执行定期外部渗透测试
- 保障措施18.3: 基于企业的修复范围和优先级策略修复渗透测试发现的问题
- 保障措施16.13: 执行应用程序渗透测试
网络分段
通过网络架构划分来隔离关键系统、功能或资源。使用物理和逻辑分段来防止访问潜在敏感系统和信息(M1030: 网络分段)
利用防护
使用功能检测和阻止可能导致或指示软件利用发生的条件(M1050: 利用防护)
- 保障措施10.5: 在企业资产和软件上启用防利用功能
参考资源
- BleepingComputer: https://www.bleepingcomputer.com/news/security/sap-fixes-suspected-netweaver-zero-day-exploited-in-attacks/
- CVE: https://www.bleepingcomputer.com/news/security/sap-fixes-suspected-netweaver-zero-day-exploited-in-attacks/
- ReliaQuest: https://forums.ivanti.com/s/article/Security-Advisory-EPM-April-2025-for-EPM-2024-and-EPM-2022-SU6?language=en_US