4月24日SAP紧急发布应用程序服务器NetWeaver更新,修补风险值达到10分满分的重大漏洞CVE-2025-31324,通报此事的安全企业ReliaQuest在调查安全事故的过程发现这项漏洞,后续有多家安全企业Onapsis、watchTowr表明观察到相关攻击行动的迹象,但究竟有多少NetWeaver服务器受害?有新的调查结果出炉。
28日Shadowserver基金会指出,他们确认有454个IP地址曝险,其中美国有149个最多,印度、澳洲有50个、37个居次。
但后续有研究人员指出,实际影响范围可能更为广泛。网络安全搜索引擎企业Onyphe向安全新闻网站Bleeping Computer透露,他们确认有1,284台服务器存在CVE-2025-31324,其中474台已被入侵,黑客植入了Web Shell。附带一提的是,有部分存在漏洞的NetWeaver服务器,是20家财富500大或全球前500大企业所有,且有不少已经有遭到入侵的迹象。
另一家安全企业Nextron Systems指出,截至目前为止,他们确认超过1,100套NetWeaver系统已经被入侵,并强调这类系统几乎都构建于大型企业及关键基础设施,鲜少在其他环境应用,因此影响的范围可能会相当广泛。
Nextron Systems呼吁IT人员,应该借由本机扫描来确认是否遭到入侵,原因是他们分析另一家安全企业Onapsis提供的外部扫描工具,发现该工具初期只针对文件名为helper.jsp与cache.jsp的Web Shell进行检测,然而,Onapsis后续加入第三种文件名称nzwcnktc.jsp的规则,这代表黑客可能已经开始采用随机命名的Web Shell作案。Nextron Systems指出,这代表外部检测工具难以识别所有利用这项漏洞的攻击行动,因此IT人员必须从内部进行彻底的扫描,才能找出相关威胁。
