ERP系统成“间谍温床”？SAP高危漏洞遭国家级黑客武器化，供应链安全防线全面告急

一项潜伏于SAP NetWeaver Visual Composer组件中的高危漏洞（CVE-2025-31324）正被国家级黑客组织疯狂利用。最新研究显示，攻击者自2025年1月20日起便持续渗透全球企业系统，其危害远超初期评估——该漏洞并非简单的文件上传缺陷，而是能直接导致远程代码执行（RCE）的致命威胁。

攻击规模远超预期，多行业遭“精准打击”
据安全公司Onapsis首席技术官Juan Perez-Etchegoyen披露，近期涌现的大量虚假漏洞报告实为黑客的“烟雾弹”战术，旨在干扰企业安全团队的应急响应。真实攻击已席卷制造业、能源、医药、零售等核心领域：

• Rapid7统计显示，制造业受害比例接近100%
• Mandiant观察到攻击者针对石油、媒体、公用事业等关键基础设施
• 部分受害企业的ERP系统被植入基于Golang的超级后门，数据窃取活动可能持续数月未被发现

国家级黑客的“慢渗透”战略
Critical Start威胁研究员Callie Guenther指出，攻击手法明显带有某国APT组织特征：
“攻击者通过SAP漏洞建立持久访问通道，目标直指知识产权、供应链及财务数据。由于企业对ERP系统缺乏可视性，许多入侵至今未被察觉。”
0rcus公司CEO Nic Adams警告，攻击者已掌握SAP环境内部拓扑，采用分阶段载荷+Webshell驻留的组合拳，绝非普通勒索软件团伙的“打了就跑”模式：

• 通过HTTP POST请求投递恶意代码
• 滥用系统内置工具（如curl、bash）横向移动
• 后门文件常隐藏于SAP默认目录（如/irj/root）

应急响应指南：假设已被入侵
安全团队应立即采取以下措施：
✅ 紧急隔离Visual Composer组件访问权限
✅ 部署SAP专用扫描工具（通用方案易漏报）
✅ 重点监控异常POST/GET请求及.jsp/.class文件
✅ 启用主机级遥测追溯历史攻击痕迹

“未打补丁的系统应默认视为已失陷。”Adams强调，“下一次大规模数据泄露事件可能正来自你的SAP服务器。”