核心要点
- ShinyHunters 公开了针对 SAP 关键漏洞的利用代码
- 未经认证的攻击者可实现系统完全接管和远程代码执行
- 应立即应用 SAP 安全补丁 3594142 和 3604119
漏洞利用细节曝光
臭名昭著的网络犯罪组织"Scattered LAPSUS$ Hunters - ShinyHunters"通过 Telegram 频道公开了针对 SAP 关键漏洞 CVE-2025-31324 和 CVE-2025-42999 的有效利用代码,随后 VX Underground 在社交媒体平台X上发布了武器化代码。
该漏洞利用链结合了 SAP NetWeaver Visual Composer 中的两个严重漏洞,均获得 CVSS 10.0 的最高评分,可使未经认证的攻击者完全控制系统并实现远程代码执行。安全研究人员警告称,该代码的公开显著加剧了未打补丁的 SAP 系统面临的威胁态势,特别是考虑到该漏洞利用的复杂性和广泛部署的可能性。
SAP NetWeaver 漏洞利用分析
Onapsis 报告显示,该漏洞利用结合了 SAP NetWeaver Visual Composer 基础设施中的认证绕过和反序列化缺陷。CVE-2025-31324 作为初始攻击向量,允许未经认证访问关键系统功能,而 CVE-2025-42999 则通过不安全的反序列化过程实现有效载荷投递。
这种双漏洞组合使攻击者能够以 SAP 管理员(adm)权限执行任意操作系统命令,有效绕过传统安全控制,无限制访问敏感业务数据和流程。技术实现显示出对 SAP 架构的深入理解,利用框架中使用了 com.sap.sdo.api.*和 com.sap.sdo.impl.*等特定类。
公开的漏洞利用代码显示出威胁行为者能力的显著提升,包含了一个可重复使用的反序列化工具,其适用范围超出了原始漏洞范围。安全研究人员特别关注该工具可能应用于近期已修补的反序列化漏洞,包括 CVE-2025-30012、CVE-2025-42980、CVE-2025-42966、CVE-2025-42963 和 CVE-2025-42964。这种跨漏洞兼容性表明威胁行为者掌握了 SAP 底层架构和序列化机制的全面知识。
| CVE 编号 | 标题 | CVSS 3.1 评分 | 严重等级 |
|---|---|---|---|
| CVE-2025-31324 | SAP NetWeaver Visual Composer 认证绕过漏洞 | 10. 0 | 严重 |
| CVE-2025-42999 | SAP NetWeaver Visual Composer 反序列化漏洞 | 9. 1 | 严重 |
缓解措施
企业必须立即应用 SAP 安全补丁 3594142 和 3604119 来修复被利用的漏洞。其他关键补丁还包括针对相关反序列化缺陷的安全补丁 3578900、3620498、3610892、3621771 和 3621236。
安全团队应对针对 SAP Visual Composer 组件的 POST、GET 和 HEAD 请求实施全面监控,同时限制面向互联网的 SAP 应用程序访问权限。
参考来源:
New Exploit for SAP 0-Day Vulnerability Allegedly Released in the Wild by ShinyHunters Hackers
