警惕！ ——SAP 系统漏洞又又又被利用！

近期，警惕新钛云服安全团队在对客户 SAP 系统进行例行安全检查时，统漏发现仍有客户的洞又SAP系统存在，先前已被披露且广为人知的又又用 SAP NetWeaver Visual Composer 中的无限制文件上传漏洞（编号为 CVE - 2025 - 31324）。这一漏洞此前虽已被安全研究界密切关注，被利至今却仍在部分未妥善防护的警惕系统中肆虐 ，被黑客们疯狂利用；基于此情况新钛云服安全团队，统漏再次对次漏洞进行说明 ，洞又希望能引起大家的又又用重视。

1.漏洞信息

图片

利用此漏洞，被利可在公开访问的警惕目录中肆意上传 JSP webshell
。免费模板该漏洞严重等级高达 10 级，统漏意味着未经身份验证的洞又普通用户竟能借此上传恶意可执行二进制文件
，最终实现远程代码执行 ，又又用这无疑给企业系统安全撕开了一道巨大的被利口子 。当下，攻击者手段愈发多样且狡猾，他们不仅投放 webshell 后门程序，还充分利用该漏洞在易受攻击的服务器上挖掘加密货币。近期，发现多个威胁行为者竞相加入这场恶意 “狂欢”，利用漏洞大肆部署 web shell 并开展挖矿活动  。

2.漏洞原理

原理剖析

CVE-2025-31324 的核心风险在于 “无限制文件上传” ，香港云服务器结合真实攻击案例发现攻击者会扫描互联网
，定位未修复漏洞的 SAP NetWeaver Visual Composer 系统；以下是大致的漏洞利用过程 。

无需身份验证即可访问文件上传功能 ，绕过系统防护机制，上传包含恶意代码的可执行文件（如 JSP webshell、挖矿程序 、恶意的提权脚本）；

图片

恶意文件被上传至公开访问目录后 ，攻击者通过访问文件触发代码执行，获取系统基础权限；若服务器同时存在提权漏洞，攻击者可进一步升级为管理员权限 ，植入更多恶意程序（如 webshell），云计算并横向渗透至其他服务器；挖矿程序后台运行
，持续占用服务器 CPU、内存等资源
 ，为攻击者生成非法收益；webshell 则作为 “后门” ，供攻击者长期控制服务器。

3.修复方案

优先安装官方安全补丁

SAP 已于 4 月 8 日发布临时解决方案
，并在 4 月 25 日推送正式安全更新 ，彻底修复 CVE-2025-31324 漏洞 。本次事件中，未及时安装补丁是漏洞被利用的核心原因，企业需按以下步骤操作：

获取补丁：登录 SAP 官方支持网站（https://launchpad.support.sap.com/），在搜索栏输入漏洞编号 “CVE-2025-31324”，找到对应 SAP NetWeaver 版本的补丁下载链接；参照指南安装：下载补丁后 ，源码下载严格按照官方文档中的步骤执行安装（需注意备份系统数据，避免安装过程中数据丢失）；重启验证：安装完成后重启 SAP 系统 ，通过 SAP 自带的补丁验证工具（如 SAP Solution Manager）检查补丁状态 ，确保补丁生效，避免因系统缓存导致补丁未正常加载。配置白名单访问

启用 IP 白名单策略，仅开放客户、供应商等合法主体的指定 IP 访问权限
，有效阻断了非法 IP 的入侵尝试。本次被检查出存在此漏洞的客户，幸亏紧急采用了IP白名单
，亿华云才避免了系统被外部攻击者进一步破坏。通过白名单来减少暴露面的步骤大致如下。

梳理需访问 SAP 系统的合法 IP（如内部办公 IP 段 、供应商固定 IP、第三方服务 IP），建立详细的 IP 清单并定期更新；配置 IP 白名单
，仅允许名单内 IP 访问 SAP 服务（包括 Web 界面、API 接口）；针对 IP 频繁变更的主体（如部分小型供应商） ，可搭配 WAF（Web 应用防火墙）接入 ，通过 WAF 的 “异常访问检测” 功能过滤非法请求，避免白名单频繁调整导致的源码库管理成本增加 。

4.持续监测

漏洞扫描验证

安装补丁和设置访问限制后，企业可借助专业的漏洞扫描工具
，如 Onapsis、nuclei等工具进行扫描 ，对 SAP 系统展开全面扫描。以 Onapsis 工具（https://onapsis.com/）为例
，首先要确保工具已正确安装，并精准配置与企业 SAP 系统的连接。登录 Onapsis 扫描工具控制台，审慎选择要扫描的 SAP 系统实例 ，在扫描策略中明确选择针对 CVE - 2025 - 31324 漏洞的专项扫描。启动扫描后，工具会逼真地模拟黑客攻击行为 ，严谨检测系统是否还存在该漏洞。若扫描结果清晰显示不存在相关漏洞
，则说明修复措施在一定程度上初显成效。

图片

业务系统运行监测

在完成漏洞扫描验证后，还需持续密切监测业务系统的运行情况 。仔细观察服务器的 CPU
、内存等资源使用率是否恢复至正常水平。例如，通过服务器管理系统查看 CPU 使用率，若在修复前 CPU 长时间处于高负载（如超过 80%），修复后能稳定在正常业务需求的合理范围内（如 30% - 50%） ，则说明挖矿程序等恶意进程已被有效清除。同时，全面检查业务系统的各项功能是否正常运行 ，如订单处理、数据查询等操作是否流畅
，有无延迟或报错情况。

5.总结

网络安全无小事，尤其是像 SAP 这样广泛应用于企业核心业务的系统 ，其安全漏洞即便并非新出现
，一旦被利用 ，后果同样不堪设想 。希望大家都能高度重视起来
，及时、精准地采取修复和验证措施，全力守护好企业的网络安全防线
。如果您在操作过程中有任何疑问，欢迎随时在评论区留言，我们将竭诚为您解答。