HackerNews 编译,转载请注明出处:
一种结合利用SAP NetWeaver中两个漏洞(编号为CVE-2025-31324和CVE-2025-42999)的新攻击方法,使组织面临系统被入侵和数据被盗的风险。
CVE-2025-31324(CVSS评分:10.0)是NetWeaver Visual Composer开发服务器中存在的一个授权检查缺失漏洞。该漏洞源于NetWeaver Visual Composer元数据上传器缺乏适当的授权检查。这意味着未经认证的攻击者(即没有有效凭证的人员)可利用它向系统上传恶意可执行文件。
一旦这些文件被上传,它们就可能在主机系统上执行,导致目标SAP环境被完全攻陷。SAP已在2025年4月安全补丁日修复了该漏洞。
CVE-2025-42999(CVSS评分:9.1)是SAP NetWeaver Visual Composer开发服务器中存在的不安全反序列化漏洞。该漏洞允许特权用户上传恶意内容,危及系统的机密性、完整性和可用性。美国网络安全和基础设施安全局(CISA)已于2025年5月将此SAP NetWeaver漏洞添加至其“已知被利用漏洞”目录。
VX Underground在社交平台X上发布了针对SAP零日漏洞CVE-2025-31324的利用代码,该代码由“Scattered LAPSUS$ Hunters – ShinyHunters”在Telegram群组中公开。
网络安全公司Onapsis发布的分析报告指出:“这两个被追踪为CVE-2025-31324并与CVE-2025-42999结合利用的初始漏洞,是SAP NetWeaver Visual Composer中两个严重漏洞的组合,CVSS评分为10.0(最高严重等级)。这些漏洞允许未经认证的攻击者在目标SAP系统上执行任意命令,包括上传任意文件。这可能导致远程代码执行(RCE)以及对受影响系统和SAP业务数据与流程的完全接管。”报告强调:“该漏洞已在野外被积极利用,对运行未打补丁SAP系统的组织构成了明确而现实的威胁。”
这种攻击方法将CVE-2025-31324和CVE-2025-42999串联起来,以绕过身份验证并以管理员权限执行恶意代码,使攻击者能够运行操作系统命令、部署Web Shell并完全访问数据和资源。研究人员指出,该利用程序不会在系统上留下痕迹。
“该反序列化工具的公开尤其令人担忧,因为它可以在其他上下文中被重用,例如利用SAP最近在7月修补的反序列化漏洞——这些漏洞由Onapsis发现并报告(2025年7月SAP补丁日:创纪录的补丁与关键反序列化漏洞):
安全补丁3578900对应CVE-2025-30012(CVSS 10)
安全补丁3620498对应CVE-2025-42980(CVSS 9.1)
安全补丁3610892对应CVE-2025-42966(CVSS 9.1)
安全补丁3621771对应CVE-2025-42963(CVSS 9.1)
安全补丁3621236对应CVE-2025-42964(CVSS 9.1)
这可能会为SAP应用程序的其他领域开辟新的攻击途径。它是攻击者武器库中的强大工具,其公开是一个重大事件。”Onapsis继续强调,“组织应确保这些SAP漏洞也已在其环境中得到及时修补。”
Onapsis已与Mandiant合作,在其GitHub页面上发布了针对CVE-2025-31324和CVE-2025-42999的开源扫描器。
消息来源: securityaffairs;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
