本周三，勒索软件团伙 BianLian 和 RansomEXX 运营者被曝利用 NetWeaver 漏洞一事出现了新进展。

　　自 Shadowserver 基金会于 4 月 27 日在推文中称有超过 400 台 NetWeaver 服务器在公共互联网上暴露以来，研究界就对 SAP NetWeaver 漏洞产生了浓厚兴趣。

　　ReliaQuest 于 5 月 14 日更新了其 4 月底关于 CVE-2025-31324 的初始 NetWeaver 研究，报告称 BianLian 至少参与了一起与该漏洞相关的事件，当时该威胁团伙正在开展反向代理服务。另一起事件中，ReliaQuest 亦发现 RansomEXX 通过滥用 MSBuild 交付了模块化后门恶意软件 PipeMagic。

　　ReliaQuest 研究人员写道：“CVE-2025-31324 已成为威胁者眼中的高价值目标，多个团伙正寻找机会发动攻击，很可能是为了部署勒索软件或获取敏感企业系统以勒索钱财。像 BianLian 和 RansomEXX 这样的团伙参与其中，反映出利用高调漏洞谋取经济利益的兴趣日益浓厚。”

　　安全团队被建议立即应用 SAP 发布的补丁。这家大型企业、资源和规划软件制造商于 4 月 24 日修复了 CVE-2025-31324，5 月 12 日又针对其发现的第二个零日漏洞 CVE-2025-42999 发布了补丁。

　　Sectigo 高级研究员 Jason Soroko 解释称，第二个 SAP NetWeaver Visual Composer 零日漏洞 CVE-2025-42999 是在对文件上传漏洞 CVE-2025-31324 进行法医分析时发现的。

　　Soroko 表示，Onapsis 报告称，自 1 月以来，攻击者将缺失认证检查与不安全的反序列化链接起来，以实现作为管理员用户的远程代码执行，从而扩大了对业务数据的访问权限。他指出，这一发现表明对 Visual Composer 上传和序列化代码的进一步审查仍在进行中，未来可能会有更多说明，因此客户应预计补丁周期至少会加速到 2025 年第三季度。

　　“对防御者来说，重要的是认识到归因已不再重要，” Soroko 说，“该漏洞利用已扩散到间谍活动和勒索生态系统中，因此每一台未打补丁的服务器都处于危险之中。将 CVE-2025-31324 视为初始访问向量，搜索诸如 helper.jsp 等 Visual Composer 网络外壳名称以及 PipeMagic 回调域名，并留意发往 BianLian 代理范围的出站流量。”

　　Pathlock 的 SAP 安全分析师 Jonathan Stross 补充道，使用 SAP NetWeaver Visual Composer 的组织应同步安装针对 CVE-2025-42999 的新补丁以及针对 CVE-2025-31324 的补丁。

　　“这一情况引起了高度关注，随着 APT 参与其中，形势愈发令人担忧，” Stross 说，“尽管如此，我们仍需专注于网络安全基础，比如监控面向公共的端点上不寻常的 SAP 相关流量。防火墙和流量检查在 IT 领域并非新概念，对 SAP 同样适用。”