摘要

ReliaQuest发现并调查了SAP NetWeaver Visual Composer中一个严重漏洞的活跃利用，该漏洞现被追踪为CVE-2025-31324。最初被怀疑是远程文件包含（RFI）问题，SAP已确认这是一个无限制文件上传漏洞，允许攻击者未经授权上传和执行任意恶意文件。

该漏洞影响/developmentserver/metadatauploader端点，并早在2025年4月中旬已在野外被利用。

受影响系统和/或应用程序

• 使用Visual Composer的SAP NetWeaver系统，特别是那些暴露/developmentserver/metadatauploader端点的系统。
• 即使在SAP 4月24日补丁之前应用了最新的服务包和更新，系统仍然易受攻击。

技术细节

该漏洞存在于SAP NetWeaver Visual Composer组件中，具体在/developmentserver/metadatauploader端点。该端点旨在在应用程序开发期间导入元数据文件，但缺乏适当的访问控制和输入清理。因此，它允许未经身份验证的攻击者上传任意文件，包括恶意的JSP webshell。

利用过程

1. 恶意上传 – 攻击者向metadatauploader端点发出精心制作的HTTP POST请求，将基于JSP的webshell作为文件负载嵌入。这些上传不会被应用程序阻止或清理。
2. 文件放置 – 上传的文件直接写入以下公开可访问的路径：/j2ee/cluster/apps/sapcom/irj/servlet_jsp/irj/root/。该路径由SAP NetWeaver应用程序服务器提供，意味着放置在此处的文件可以通过浏览器中的标准GET请求远程执行。
3. 远程命令执行 – JSP webshell包含解析来自HTTP请求的命令输入的Java代码，使用Java的Runtime.getRuntime().exec()在底层操作系统上执行它们，并在浏览器中返回输出。这为攻击者提供了服务器上的完整远程代码执行（RCE）能力。

利用后策略

Brute Ratel C2部署

攻击者使用webshell：

• 将编码的C# payload写入磁盘（例如，output.txt）
• 将文件移动到受信任的目录（例如，C:\ProgramData\）
• 通过.NET Framework的本机构建工具MSBuild.exe编译并执行它

这使他们能够下载并执行Brute Ratel，一种商业红队工具包，以建立持久的C2访问。

通过Heaven’s Gate进行内存规避

观察到的活动还包括Heaven’s Gate，这是一种将执行上下文从32位切换到64位模式以规避EDR检测的技术。这通过使用NtSetContextThread和其他低级系统调用操作显而易见。

危害指标（IOCs）

缓解和建议

立即行动

• 应用补丁：尽快安装SAP针对CVE-2025-31324的官方补丁。客户可以通过SAP支持渠道访问补丁说明。
• 禁用Visual Composer：SAP Visual Composer已弃用，应通过SAP NetWeaver中的过滤器禁用。
• 限制对开发服务器的访问：禁用应用程序别名developmentserver，并强制执行防火墙规则以阻止外部访问此端点。
• 审查Webshell路径：检查路径：j2ee/cluster/apps/sapcom/irj/servlet_jsp/irj/root/，删除任何未经授权的.jsp文件，并验证日志以查找可疑的上传或执行活动。

网络融合中心正在做什么

CFC将继续监控情况，并在需要时发送咨询更新。需要立即采取行动，通过应用补丁、限制访问和增强安全监控来缓解潜在利用。

订阅我们漏洞扫描服务的客户将在扫描提供商提供相关插件后，立即收到范围内发现的关键漏洞的相关结果。

参考文献

• SAP Zero-Day Possibly Exploited by Initial Access Broker – SecurityWeek
• SAP Security Patch Day – April 2025
• ReliaQuest Uncovers New Critical Vulnerability in SAP NetWeaver