SAP NetWeaver에서 CVE-2025-31324의 활발한 악용 사례 발생

25년 5월 15일. TeamT5는 SAP NetWeaver의 심각한 취약점(CVE-2025-31324)이 중국에 연루된 최소 두 개의 APT 그룹인 Amoeba와 TeleBoyi에 의해 활발하게 악용되고 있음을 발견했습니다. APT 그룹의 최초 악용 사례는 2025년 5월로 거슬러 올라가지만, 공개된 보고서에 따르면 제로데이 악용 사례는 2025년 1월에 발견되었습니다. 공격자는 악용 사례가 성공적으로 발생한 후 vshell, CobaltStrike Beacon, ShadowPad, TripleZero와 같은 웹셸과 악성코드를 배포했습니다.

또한, 추가 조사 결과 여러 주요 클라우드 서비스 제공업체가 영향을 받은 것으로 확인되었습니다. Google Cloud, Microsoft Azure, Amazon Web Service를 포함한 100개 이상의 기업이 웹셸에 의해 침해되었습니다. 피해자는 대만, 한국, 중국, 인도, 미국, 스페인, 터키, 러시아, 독일, 과테말라, 생바르텔레미, 칠레에 있으며, 교육, 제조, 자동차, 재활용, 관광, IT, 식음료, 대기업 등 다양한 분야에 걸쳐 있습니다.

아래 악용 현황에서 해당 공격에 대한 결론을 내리겠습니다.

25년 5월 15일. SAP NetWeaver 취약점 악용 공격 발견

TeamT5는 SAP NetWeaver의 취약점(CVE-2025-31324)를 악용한 공격을 탐지하였습니다. CVE-2025-31324는 SAP NetWeaver Visual Composer 메타데이터 업로더의 인증되지 않은 파일 업로드 취약점입니다. CVSS 점수 9.8점을 받은 CVE-2025-31324를 성공적으로 악용할 경우, 인증되지 않은 공격자가 웹셸을 업로드하고 악성코드를 삽입할 수 있습니다.

CVE-2025-31324는 2025년 5월부터 중국 관련 APT 그룹인 Amoeba와 TeleBoyi에 의해 악용되어 왔습니다. APT 활동 외에도 추가 조사 결과 여러 주요 클라우드 서비스 제공업체가 영향을 받은 것으로 확인되었습니다. Google Cloud, Microsoft Azure, Amazon Web Service를 포함한 100개 이상의 기업이 웹셸에 의해 침해되었습니다.

영향을 받는 제품

제품 – SAP NetWeaver(Visual Composer 개발 서버)
버전 – VCFRAMEWORK 7.50

SAP는 2025년 5월에 발표된 보안 노트를 통해 CVE-2025-31324를 수정했습니다.

https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2025.html

CVE-2025-31324는 인증되지 않은 위협 행위자가 웹셸을 업로드할 수 있도록 허용합니다. TeamT5 취약점 팀은 고객이 일반 JSP 웹셸을 탐지할 수 있도록 YARA 규칙을 마련했습니다. YARA rule이 필요하면 연락주세요.