CVE-2025-31324 탐지: SAP NetWeaver 제로데이 공격, 원격 코드 실행에 노출된 중요한 시스템

[post-views]
5월 01, 2025 · 4 분 읽기
CVE-2025-31324 탐지: SAP NetWeaver 제로데이 공격, 원격 코드 실행에 노출된 중요한 시스템

제로데이 취약점 이제 더 이상 드문 이상 현상이 아닙니다. 현대 공격자의 무기고에서 핵심 도구로 자리 잡았으며, 해킹 활동이 해마다 증가하고 있습니다. 구글의 위협 인텔리전스 그룹(GTIG)에 따르면 2024년 한 해 동안 75개의 제로데이 취약점이 야생에서 악용되었으며, 이는 비즈니스에 중요한 시스템에 대한 위협이 커지고 있음을 단적으로 보여줍니다.

최근 등장한 중요한 취약점 중 하나인 CVE-2025-31324는 최대 위험성을 가진 인증되지 않은 파일 업로드 결함으로, 정부와 대기업에서 널리 사용되는 핵심 플랫폼인 SAP NetWeaver에 영향을 미칩니다. 1,200개 이상의 인터넷 노출 SAP NetWeaver 인스턴스가 위험에 처해 있어 CVE-2025-31324는 시스템 전체의 손상을 초래할 수 있는 심각한 위협을 안고 있습니다.

CVE-2025-31324 취약점 악용 탐지

2024년, GTIG는 기업 소프트웨어와 장치에서 악용된 33개의 제로데이 취약점을 식별했습니다. 이는 주로 비즈니스 환경에서 사용되는 기술들로, 작년 모든 제로데이의 44%가 기업 제품을 표적으로 삼았다는 점에서 공격자들이 비즈니스에 중요한 인프라에 집중하고 있다는 명확한 상승을 보여줍니다. 잠재적 위험을 효과적으로 완화하기 위해 보안 팀은 새로 공개된 취약점을 악용하는 새로운 위협을 앞서 감지하고 신속하게 대응하는 전략에 초점을 맞춰야 합니다.

SOC 프라임 플랫폼 등록 하여 CVE-2025-31324 취약점 악용 시도를 다루는 맞춤형 Sigma 규칙 세트와 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥, 고급 위협 탐지를 위한 완전한 제품군에 접근하십시오. 단순히 탐지 탐색 버튼을 클릭하여 관련 탐지 스택으로 즉시 이동하세요.

탐지 탐색

모든 규칙은 다양한 SIEM, EDR, 데이터 레이크 기술과 호환 가능하며 MITRE ATT&CK® 와 연계되어 위협 조사를 간소화합니다. 또한 각 규칙은 CTI 참조, 공격 타임라인, 감사 구성, 우선순위 추천 등 광범위한 메타데이터로 풍부하게 제공됩니다.

트렌딩 취약점을 무기로 활용하는 사이버 공격을 탐지하기 위해 더 적합한 컨텐츠를 찾고자 하는 사이버 방어자들은 ‘CVE’ 태그로 위협 탐지 마켓플레이스에서 관련 탐지 알고리즘의 전체 컬렉션에 접근할 수 있습니다.

또한 보안 전문가는 Uncoder AI 를 사용하여 위협 조사를 간소화할 수 있습니다. – 위협 중심 탐지 엔지니어링을 위한 사적인 IDE 및 공동 조종자로, 이제 토큰 제한 없이 AI 기능이 완전히 무료로 제공됩니다. 원시 위협 보고서에서 탐지 알고리즘을 생성하고, 빠른 IOC 검사로 성능 최적화된 쿼리를 활성화하며, ATT&CK 태그를 예측하고, AI 팁으로 쿼리 코드를 최적화하며, 여러 SIEM, EDR 및 데이터 레이크 언어로 변환합니다.

CVE-2025-31324 분석

2025년 4월 24일 SAP에 의해 공개되고 2025년 4월 보안 패치 데이에 해결된 CVE-2025-31324는 인증되지 않은 파일 업로드 취약점으로, 최대 CVSS v3 점수 10.0을 가지고 있습니다. 이 결함은 Metadata Uploader 컴포넌트의 권한 확인이 누락되어 인증되지 않은 공격자가 /developmentserver/metadatauploader 엔드포인트에 특수하게 조작된 POST 요청을 보내도록 허용하여 권한 없는 파일 업로드로 이어지며 원격 코드 실행(RCE) 및 시스템 전체의 손상을 초래할 수 있습니다.

패치가 적용되었음에도 불구하고, Rapid7의 Managed Detection and Response (MDR) 팀은 2025년 3월 27일 부터 제조 부문에서 특히 취약점의 실시간 악용을 확인했습니다.

위협 행위자들은 이 결함을 사용하여 다음 디렉토리에 악성 JSP 기반 웹 셸을 업로드했습니다:
j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root/이 간단한 GET 요청을 통해 지속적인 원격 접근, 코드 실행, 데이터 추출이 가능해졌습니다. 리커스처치에서는 공격자가 SAP 서버를 제어하는 발사대로 전환할 수 있다는 것을 보여줍니다. 조사의 자료에 따르면

일부 사건에서는 Brute Ratel C4 포스트-익스플로잇 프레임워크와 같은 도구가 사용되었고, Heaven’s Gate와 같은 회피 기법이 엔드포인트 방어를 우회하는 데 사용되었다고 합니다. 이는 위협 행위자들이 얼마나 전문적인지를 보여줍니다.

눈에 띄게도, 취약한 Metadata Uploader 컴포넌트는 기본적으로 설치되지 않지만 SAP NetWeaver Java 스택의 일부입니다. 그러나 Onapsis 연구원들은 많은 조직이 전통적인 코딩 필요 없이 비즈니스 프로세스 전문가들이 기업 애플리케이션을 생성할 수 있도록 이 기능을 활성화한다고 언급했습니다. Onapsis의 분석에서는 CVE-2025-31324를 악용하는 공격자가 시스템 전체의 관리자 수준 접근을 제공하는 웹 셸을 설치하여 SAP 애플리케이션을 방해하거나 데이터를 추출하거나 광범위한 악성 행위를 수행할 수 있다는 것을 밝혀냈습니다.

유사한 제로데이와 다른 알려진 CVE의 악용 위험을 최소화하기 위해 SOC 프라임 플랫폼은 AI 및 자동화가 뒷받침하는 고유한 기술 융합을 기반으로 한 완전한 제품군을 보안 팀에 제공하고, 여러 산업 분야와 다양한 환경에서 전 세계 조직이 SOC 운영을 확대할 수 있도록 돕고 있습니다. 지금 등록하세요 사이버 위협을 초과하고 비즈니스에 대한 어떤 잠재적인 사이버 공격도 앞서 나갈 수 있습니다.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물