Компания SAP выпустила экстренное обновление безопасности для устранения критической уязвимости в NetWeaver Visual Composer, которая активно эксплуатируется киберпреступниками. Уязвимость, получившая идентификатор CVE-2025-31324 и максимальную оценку опасности 10.0 по шкале CVSS, позволяет злоумышленникам удаленно выполнять произвольный код без необходимости аутентификации.
Технические детали уязвимости
Брешь обнаружена в компоненте Metadata Uploader системы SAP NetWeaver Visual Composer. Уязвимость позволяет неавторизованным пользователям загружать вредоносные исполняемые файлы через путь /developmentserver/metadatauploader, что может привести к полной компрометации целевой системы. Особую опасность представляет возможность эксплуатации без необходимости авторизации в системе.
Подтвержденные случаи эксплуатации
Компания ReliaQuest зафиксировала серию успешных атак на корпоративные системы с использованием данной уязвимости. Злоумышленники загружали JSP веб-шеллы в публичные директории, что позволяло им выполнять произвольные команды через простые GET-запросы. Важно отметить, что атаки проводились даже на полностью обновленных системах, что подтверждает статус уязвимости как 0-day.
Тактики постэксплуатации
После получения первичного доступа атакующие использовали продвинутые инструменты и техники, включая:
- Инструмент Red Team Brute Ratel
- Технику обхода защиты Heaven’s Gate
- Внедрение скомпилированного кода через MSBuild в процесс dllhost.exe
Эксперты компании WatchTowr также подтвердили активную эксплуатацию CVE-2025-31324. По словам генерального директора компании Бенджамина Харриса, злоумышленники используют уязвимость для установки бэкдоров и получения устойчивого доступа к скомпрометированным системам. Характер атак и временные задержки между первичным доступом и дальнейшими действиями указывают на возможную причастность брокеров начального доступа, которые продают скомпрометированные системы другим киберпреступникам.
Всем организациям, использующим SAP NetWeaver, настоятельно рекомендуется незамедлительно установить последние обновления безопасности. Также следует провести аудит систем на предмет возможной компрометации, уделяя особое внимание наличию подозрительных файлов в публичных директориях и неавторизованной активности в системных журналах.
