Technical Analysis of SAP Exploit Script Used in JLR, Harrods Hacks
8 months ago
- #Exploit
- #SAP
- #Cybersecurity
- 该脚本针对SAP NetWeaver中Visual Composer元数据上传组件的一个关键零日漏洞(CVE-2025–31324)。
- 该漏洞允许通过HTTP端点/developmentserver/metadatauploader向服务器文件系统进行未经验证的文件上传。
- 攻击者可上传任意文件(如恶意JSP网页后门),从而以SAP服务账户权限实现远程代码执行(RCE)。
- 脚本通过构造含嵌入载荷的HTTP POST请求实现自动化攻击,并可选择性部署持久化后门。
- 核心功能包括:初始化与参数解析、反序列化载荷构造(OAST检查模式)、网页后门文件上传。
- 攻击流程涉及:定位SAP元数据上传器、构造恶意请求、嵌入载荷、触发代码执行。
- 入侵指标(IoCs)包括:异常的/developmentserver/metadatauploader的POST请求流量、服务器上出现异常JSP文件。
- 缓解措施包括:应用SAP补丁、隔离脆弱组件、强制身份验证、监控攻击迹象。
- 检测规则聚焦于识别SAP目录中通过JSP文件进行的网页后门上传及命令执行行为。
- 脚本呈现的恶意代码特征包括:混淆载荷(Base64编码)、命令注入、随机化规避技术等。