SAP NetWeaver AS Java 未授权反序列化漏洞技术分析

90_

SAP NetWeaver AS Java 未授权反序列化漏洞技术分析 —— CVE-2025-31324

1. 漏洞背景
SAP NetWeaver AS Java 作为 SAP 企业应用的核心运行平台，暴露了一系列开发与调试相关的服务接口。         
其中 MetadataUploader 组件（路径 /developmentserver/metadatauploader）被设计用于上传元数据文件。         
在默认配置下，该端点未强制鉴权。攻击者可直接上传特制 ZIP 包，触发底层 Java 对象反序列化流程，从而实现远程代码执行（RCE）。         
漏洞影响范围涵盖 Visual Composer Framework 7.1x 及以上版本。

2. 漏洞根因与触发机制
2.1 不安全的反序列化入口         
MetadataUploader 在处理上传 ZIP 时，会尝试读取 .properties 文件内容，内部使用 Java ObjectInputStream 或类似机制来反序列化属性对象。         
这一过程缺乏：         
- 类型白名单         
- gadget 过滤         
- 安全沙箱         
导致攻击者可构造任意对象流，引入恶意 gadget 链。         

2.2 可利用的 gadget 链         
PoC 中的序列化 payload 明显参考了 ysoserial 的 gadget 链（例如 CommonsCollections 系列）。         
特征：字节流中有大量固定模式的 0xACED 0x0005（Java 序列化魔数）+ 类描述结构。         
为规避检测，作者将关键字符串（如 ysoserial、gadget）替换为混淆词。         

2.3 版本差异 (7.4 vs 7.5)         
- SAP 7.4：直接接受原始序列化结构。         
- SAP 7.5：内部对象类签名（serialVersionUID）不同。若传入 7.4 的 payload，会触发 InvalidClassException。         
PoC 脚本通过匹配返回体中的 serialVersionUID = -7308740002576184038 判断版本，并替换 payload 中的 8 字节 UID 值后重试。

3. PoC 技术细节分析
3.1 载荷生成逻辑         
脚本中有三段 Base64 编码字节块：h1、h2、tail。         
整体结构： [h1] + [payload_size字段] + [payload数据] + [h2] + [tail]         

3.2 内存 ZIP 打包         
- 使用 zipfile.ZipFile 创建临时 ZIP，文件名固定为 .properties。         
- 文件内容即为拼接好的序列化对象流。         

3.3 利用请求细节         
- 目标端点:
POST /developmentserver/metadatauploader?CONTENTTYPE=MODEL&CLIENT=1
        
- 请求头:
Content-Type: application/octet-stream
         
- 请求体: 恶意 ZIP 文件         

3.4 成功判定逻辑         
- 命令执行: 返回体中包含
"Cause - Getter getOutputProperties"
         
- WebShell 落地: 上传到
../apps/sap.com/irj/servlet_jsp/irj/root/<随机>.jsp
并通过 ?cmd= 调用

4. 攻击链条还原
1. 攻击者构造恶意序列化对象流并封装为 .properties ZIP。         
2. 匿名 POST 请求上传至 metadatauploader 接口。         
3. SAP 服务端自动解压并触发反序列化 → gadget 链执行。         
4. 利用结果：         
   - RCE: 直接执行系统命令。         
   - 持久化: 落地 JSP WebShell。

5. 攻击迹象（IoC）
- 流量特征:         
  - 未经认证的
POST /developmentserver/metadatauploader
         
  - 上传体仅含单个 .properties         
- 响应特征:         


- "Cause - Getter getOutputProperties" - "serialVersionUID = -7308740002576184038"
         
- 落地文件:         
  - /irj/root/*.jsp         
  - 含
Runtime.getRuntime().exec, request.getParameter("cmd")

6. 防御与缓解
1. 官方修复:         
- 安装 SAP Security Note 3594142 (CVE-2025-31324) 和 3604119 (CVE-2025-42999)。         
2. 临时措施:         
- 禁用或删除 Visual Composer MetadataUploader。         
- 阻断公网访问 /developmentserver/metadatauploader。         
3. 检测:         
- 日志监控可疑上传。         
- 文件完整性监控 /irj/root/。         
- YARA 匹配 WebShell。         
4. 应急处置:         
- 若发现 WebShell，立即隔离、回溯并重置凭据。

7. 总结
CVE-2025-31324 危害严重：         
- 利用门槛低：匿名即可触发。         
- 利用效果强：可直接 RCE 或写入 WebShell。         
- 攻击已在野外活跃：多家安全厂商确认。         

必须立即采取措施：补丁、加固、排查，以避免 SAP Portal 成为突破口。