国产成人精品综合久久久软件,欧美一区精品二区三区,久久久久国产成人精品

SAP NetWeaver中存在嚴(yán)重漏洞，面臨主動(dòng)利用威脅

責(zé)任編輯：cres

作者：David Jones

2025-04-27 16:11:51

來(lái)源：企業(yè)網(wǎng)D1Net

原創(chuàng)

已觀察到攻擊者正在投放webshell后門程序，研究人員警告稱，該應(yīng)用程序在政府機(jī)構(gòu)中頗受歡迎。

安全研究人員警告稱，黑客正在積極利用SAP NetWeaver Visual Composer中一個(gè)關(guān)鍵的無(wú)限制文件上傳漏洞。

該漏洞(編號(hào)為CVE-2025-31324)可能會(huì)使未經(jīng)身份驗(yàn)證的用戶上傳惡意可執(zhí)行二進(jìn)制文件，該漏洞的嚴(yán)重等級(jí)為10。

Reliaquest的研究人員在調(diào)查中發(fā)現(xiàn)攻擊者將JSP webshell上傳到可公開(kāi)訪問(wèn)的目錄中后，向SAP披露了這一漏洞。

研究人員最初懷疑黑客是在利用一個(gè)編號(hào)為CVE-2017-9844的舊漏洞，或者是一個(gè)未報(bào)告的遠(yuǎn)程文件包含漏洞，然而，Reliaquest觀察到的是最新系統(tǒng)的受損情況。

“漏洞CVE-2017-9844是針對(duì)拒絕服務(wù)(DoS)和可能的遠(yuǎn)程代碼執(zhí)行(RCE)(未提及RFI)與對(duì)同一URI的請(qǐng)求相關(guān)的，因此，我們認(rèn)為這是全新的漏洞或是范圍擴(kuò)大。”Reliaquest的一位發(fā)言人在周二向Cybersecurity Dive表示。

Reliaquest的研究人員警告稱，SAP技術(shù)在政府機(jī)構(gòu)中廣泛使用，一旦成功入侵，可能會(huì)使黑客進(jìn)入政府網(wǎng)絡(luò)。

據(jù)Reliaquest稱，攻擊者正在使用Brute Ratel和Heaven’s Gate進(jìn)行執(zhí)行和逃避檢測(cè)。

SAP的一位發(fā)言人證實(shí)，該公司已被告知SAP NetWeaver Visual Composer中存在一個(gè)漏洞，該漏洞可能允許在特定的Java Servlets中未經(jīng)身份驗(yàn)證和授權(quán)的代碼執(zhí)行。

該公司表示，尚未了解到任何客戶數(shù)據(jù)或系統(tǒng)受損的情況，它于4月8日發(fā)布了一個(gè)臨時(shí)解決方案，并正在開(kāi)發(fā)一個(gè)補(bǔ)丁，將于4月30日提供。

SAP的一位發(fā)言人在Reliaquest的研究發(fā)布后證實(shí)，周四發(fā)布了一個(gè)緊急補(bǔ)丁。Reliaquest和Onapsis的研究人員在他們的博客文章中指出，已經(jīng)發(fā)布了一個(gè)緊急補(bǔ)丁。

盡管SAP保證沒(méi)有立即產(chǎn)生影響，但安全公司正在報(bào)告針對(duì)該漏洞的持續(xù)攻擊嘗試。

watchTowr的研究人員發(fā)現(xiàn)，威脅行為者正在投放webshell后門程序并獲得進(jìn)一步訪問(wèn)權(quán)限。

“這種在野外積極利用漏洞和廣泛影響的情況，使得我們很快就會(huì)看到多方大規(guī)模利用漏洞的可能性極大，”watchTowr的首席執(zhí)行官Benjamin Harris通過(guò)電子郵件向Cybersecurity Dive表示。“如果你以為還有時(shí)間，那就沒(méi)有了。”

Onapsis Research Labs的CEO Mariano Nunez表示，Onapsis已確定有10000多個(gè)面向互聯(lián)網(wǎng)的SAP應(yīng)用程序可能因該漏洞而面臨泄露風(fēng)險(xiǎn)。

Nunez補(bǔ)充道，“其中50%-70%的應(yīng)用程序已啟用易受攻擊的組件，并可能已經(jīng)遭到入侵。”

不過(guò)，該易受攻擊的組件默認(rèn)并未啟用，因此Onapsis正在確認(rèn)易受影響的系統(tǒng)數(shù)量。

網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)正在按照標(biāo)準(zhǔn)程序跟蹤該漏洞，并與供應(yīng)商和其他合作伙伴合作，以確定是否需要進(jìn)一步的溝通，一位發(fā)言人向Cybersecurity Dive表示。

企業(yè)網(wǎng)D1net(m.hfnxjk.com)：

國(guó)內(nèi)主流的to B IT門戶，旗下運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開(kāi)頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

網(wǎng)絡(luò)安全