該漏洞(編號(hào)為CVE-2025-31324)可能會(huì)使未經(jīng)身份驗(yàn)證的用戶上傳惡意可執(zhí)行二進(jìn)制文件,該漏洞的嚴(yán)重等級(jí)為10。
Reliaquest的研究人員在調(diào)查中發(fā)現(xiàn)攻擊者將JSP webshell上傳到可公開(kāi)訪問(wèn)的目錄中后,向SAP披露了這一漏洞。
研究人員最初懷疑黑客是在利用一個(gè)編號(hào)為CVE-2017-9844的舊漏洞,或者是一個(gè)未報(bào)告的遠(yuǎn)程文件包含漏洞,然而,Reliaquest觀察到的是最新系統(tǒng)的受損情況。
“漏洞CVE-2017-9844是針對(duì)拒絕服務(wù)(DoS)和可能的遠(yuǎn)程代碼執(zhí)行(RCE)(未提及RFI)與對(duì)同一URI的請(qǐng)求相關(guān)的,因此,我們認(rèn)為這是全新的漏洞或是范圍擴(kuò)大。”Reliaquest的一位發(fā)言人在周二向Cybersecurity Dive表示。
Reliaquest的研究人員警告稱,SAP技術(shù)在政府機(jī)構(gòu)中廣泛使用,一旦成功入侵,可能會(huì)使黑客進(jìn)入政府網(wǎng)絡(luò)。
據(jù)Reliaquest稱,攻擊者正在使用Brute Ratel和Heaven’s Gate進(jìn)行執(zhí)行和逃避檢測(cè)。
SAP的一位發(fā)言人證實(shí),該公司已被告知SAP NetWeaver Visual Composer中存在一個(gè)漏洞,該漏洞可能允許在特定的Java Servlets中未經(jīng)身份驗(yàn)證和授權(quán)的代碼執(zhí)行。
該公司表示,尚未了解到任何客戶數(shù)據(jù)或系統(tǒng)受損的情況,它于4月8日發(fā)布了一個(gè)臨時(shí)解決方案,并正在開(kāi)發(fā)一個(gè)補(bǔ)丁,將于4月30日提供。
SAP的一位發(fā)言人在Reliaquest的研究發(fā)布后證實(shí),周四發(fā)布了一個(gè)緊急補(bǔ)丁。Reliaquest和Onapsis的研究人員在他們的博客文章中指出,已經(jīng)發(fā)布了一個(gè)緊急補(bǔ)丁。
盡管SAP保證沒(méi)有立即產(chǎn)生影響,但安全公司正在報(bào)告針對(duì)該漏洞的持續(xù)攻擊嘗試。
watchTowr的研究人員發(fā)現(xiàn),威脅行為者正在投放webshell后門程序并獲得進(jìn)一步訪問(wèn)權(quán)限。
“這種在野外積極利用漏洞和廣泛影響的情況,使得我們很快就會(huì)看到多方大規(guī)模利用漏洞的可能性極大,”watchTowr的首席執(zhí)行官Benjamin Harris通過(guò)電子郵件向Cybersecurity Dive表示。“如果你以為還有時(shí)間,那就沒(méi)有了。”
Onapsis Research Labs的CEO Mariano Nunez表示,Onapsis已確定有10000多個(gè)面向互聯(lián)網(wǎng)的SAP應(yīng)用程序可能因該漏洞而面臨泄露風(fēng)險(xiǎn)。
Nunez補(bǔ)充道,“其中50%-70%的應(yīng)用程序已啟用易受攻擊的組件,并可能已經(jīng)遭到入侵。”
不過(guò),該易受攻擊的組件默認(rèn)并未啟用,因此Onapsis正在確認(rèn)易受影響的系統(tǒng)數(shù)量。
網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)正在按照標(biāo)準(zhǔn)程序跟蹤該漏洞,并與供應(yīng)商和其他合作伙伴合作,以確定是否需要進(jìn)一步的溝通,一位發(fā)言人向Cybersecurity Dive表示。
企業(yè)網(wǎng)D1net(m.hfnxjk.com):
國(guó)內(nèi)主流的to B IT門戶,旗下運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開(kāi)頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。