引言:企業數位神經系統的致命弱點
SAP系統不僅僅是企業資源規劃(ERP)軟體,它更是全球數以萬計大型企業的數位神經系統,掌控著從財務、人力資源到供應鏈管理的每一個核心流程。因此,SAP系統的安全性至關重要,任何一個漏洞都可能引發災難。然而,一個令人震驚的消息是,針對SAP NetWeaver中兩個已修補的漏洞,其鏈結漏洞利用程式(public exploit)已在公開領域浮現。這代表著,駭客現在可以輕鬆地利用這組漏洞來發動攻擊,對所有尚未修補的系統發出最嚴重的資安警報。
威脅解析:SAP鏈結漏洞的嚴重性
這組鏈結漏洞利用程式結合了兩個已修補的SAP NetWeaver漏洞:CVE-2025-31324和CVE-2025-42999。單一漏洞本身可能已構成威脅,但當它們被「鏈結」在一起時,其威力便呈指數級增長。
所謂的「鏈結漏洞」,是指攻擊者利用一個漏洞來繞過系統的安全機制,再利用另一個漏洞來達成最終的攻擊目的。在這個案例中:
- 漏洞一(CVE-2025-31324):這是一個「缺乏授權檢查」的漏洞,它允許未經身份驗證的攻擊者,向SAP系統上傳惡意檔案,從而突破系統的防禦外圍。
- 漏洞二(CVE-2025-42999):這是一個「不安全的反序列化」漏洞,它允許攻擊者利用已上傳的惡意檔案,在SAP系統中以最高管理員權限(SAP administrator privileges)執行任意程式碼。
透過這兩個漏洞的完美結合,一個原本無法進入系統的駭客,可以不費吹灰之力地取得SAP系統的完整控制權。更令人擔憂的是,資安公司Onapsis警告,這種反序列化技術可以被駭客重複利用,來攻擊其他近期修補的SAP漏洞。
攻擊途徑與潛在風險
這組漏洞並非理論上的威脅,報告指出,自2025年3月以來,它們就已經被勒索軟體集團Qilin、BianLian、RansomExx以及一些中國駭客組織(China-nexus espionage crews)作為零日漏洞(zero-day)進行利用,目標鎖定關鍵基礎設施。
一旦駭客成功利用此公開漏洞利用程式入侵,潛在的後果將是毀滅性的:
- 全面系統接管:駭客將取得SAP系統的最高管理員權限,這意味著他們可以隨意新增、修改或刪除任何數據。
- 核心數據竊取:駭客可以輕易竊取公司的財務報表、人事資料、客戶數據、供應鏈資訊等所有核心機密。
- 勒索與業務中斷:駭客可能部署勒索軟體,加密所有數據,並勒索贖金。這將導致企業業務的全面停擺。
- 供應鏈攻擊:若受害企業為供應鏈中的關鍵環節,攻擊可能擴散至其上下游合作夥伴,造成更廣泛的連鎖反應。
一個零日漏洞在被修補後,其利用程式在公開社群中浮現,將會大幅縮短從發現到廣泛攻擊之間的時間。這使得所有尚未進行修補的SAP系統都處於極度危險之中。
應對與防禦建議:企業的緊急行動指南
面對如此緊急的資安威脅,所有使用SAP系統的企業必須立即採取行動。
- 立即修補:將SAP NetWeaver系統更新至最新版本,並立即安裝針對CVE-2025-31324與CVE-2025-42999的所有安全修補程式。這是最關鍵的第一步。
- 限制外部存取:嚴格限制所有SAP應用程式的外部網路存取。除非有明確的業務需求,否則應將SAP系統隔離在內網中,避免直接暴露在公網上。
- 監控與偵測:強化對SAP系統的日誌與行為監控。監控任何異常的檔案上傳行為、未經授權的程式執行,以及可疑的數據傳出活動。
- 弱點掃描:定期對SAP系統進行弱點掃描,確保沒有遺漏的配置錯誤或未修補的漏洞。
事後鑑識與應急準備:若懷疑系統已被入侵,應立即啟動應急響應計畫,並尋求專業的資安鑑識協助,以確定入侵範圍並進行系統復原。
結論
SAP鏈結漏洞的公開利用,是企業資安史上又一個重要的警示。再次提醒我們,即使是看似無關的單一漏洞,當它們被聰明的駭客串聯起來時,也能形成極其強大的攻擊武器。這場資安戰役不僅考驗著企業的技術防禦能力,更考驗著其應變速度與資安意識。
資料來源:https://thehackernews.com/2025/08/public-exploit-for-chained-sap-flaws.html