正文

从Web Shell到完全控制:针对SAP NetWeaver的APT式攻击激增

admin
admin V管理员 /0 评论 /16 阅读
0511
文章最后更新时间2025年05月11日,若文章内容或图片失效,请留言反馈!

Unit 42发布的研究报告披露,影响SAP NetWeaver Visual Composer Framework(7.50版本)的漏洞CVE-2025-31324正在被积极利用。这个CVSS评分为10.0的漏洞允许未经认证的攻击者在SAP应用服务器上上传并执行任意文件,导致远程代码执行(RCE)和系统完全沦陷。

Part01

漏洞根源与利用方式

该漏洞源于/developmentserver/metadatauploader端点缺少授权检查。这个不安全的文件上传处理器允许未认证用户将文件放置到服务器上可通过web访问的目录(如/irj/servlet_jsp/irj/root/),包括恶意的JSP web shell。
Unit 42解释道:"攻击者随后可以通过web浏览器访问web shell...并以SAP应用服务器进程的权限执行任意操作系统命令。"
研究人员观察到攻击者部署了helper.jsp、cache.jsp和ran.jsp等web shell,其中后者支持通过cmd参数执行远程命令。攻击者随后通过部署额外工具来提升攻击活动。

Part02

攻击工具链分析

初始入侵后,攻击者利用后门下载了config.sh脚本,该脚本启动了GOREVERSE——一个高级开源远程shell工具,提供以下功能:

1. 基于SSH的shell管理

2. 动态转发(SOCKS、SCP、SFTP)

3. 多传输层(HTTP、TLS、WebSockets)

4. 安全通道的双向认证

报告指出:"我们观察到的样本是一个64位ELF二进制文件,使用了名为Garble的开源工具进行混淆...下载自ocr-freespace.oss-cn-beijing.aliyuncs[.]com。"

威胁行为者还利用了强大的C2框架SUPERSHELL,并使用包括47.97.42[.]177和45.76.93[.]60在内的已知恶意IP地址来维持持久访问。

Part03

攻击基础设施与时间线

攻击者使用Cloudflare Pages等合法云服务托管载荷,其中Base64编码的PowerShell脚本托管在d-69b.pages[.]dev。该脚本执行后会:

1. 生成SSH密钥

2. 终止活动的ssh.exe和sshd.exe进程

3. 下载OpenSSH二进制文件

4. 建立回连攻击者控制基础设施的隧道

值得注意的是,Unit 42的遥测数据显示,该漏洞可能在2025年1月就已被探测,大规模利用始于2025年3月,远早于SAP在2025年4月24日的公开披露。

Part04

防护建议

鉴于该漏洞易于利用且影响严重,SAP NetWeaver用户必须立即:
1. 应用补丁
2. 监控异常活动,特别是对/developmentserver/metadatauploader端点的访问
3. 检查是否存在已知恶意JSP文件

推荐阅读

电台讨论


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
https://ZhouSa.com