Компанія SAP випустила терміновий патч безпеки для усунення критичної вразливості в компоненті NetWeaver Visual Composer. Вразливість, якій присвоєно ідентифікатор CVE-2025-31324 та максимальний рівень загрози 10.0 за шкалою CVSS, дозволяє зловмисникам виконувати довільний код на цільових системах без необхідності автентифікації.
Технічний аналіз вразливості
Вразливість знаходиться в модулі Metadata Uploader системи SAP NetWeaver Visual Composer. Дослідження показали, що неавторизовані користувачі можуть завантажувати шкідливі виконувані файли через вразливий endpoint /developmentserver/metadatauploader. Особливу небезпеку становить можливість віддаленої експлуатації без необхідності попередньої автентифікації, що суттєво спрощує проведення атак.
Підтверджені випадки компрометації
Експерти з кібербезпеки компанії ReliaQuest задокументували численні випадки успішної експлуатації вразливості. Зловмисники використовують техніку завантаження JSP веб-шелів у публічні директорії, що дозволяє їм виконувати довільні команди через прості HTTP GET-запити. Атаки зафіксовані навіть на системах з актуальними оновленнями, що підтверджує статус вразливості як zero-day.
Методи постексплуатації та індикатори компрометації
Після отримання первинного доступу атакуючі застосовують передові інструменти для закріплення в системі:
- Використання фреймворку Red Team Brute Ratel для прихованого доступу
- Застосування техніки Heaven’s Gate для обходу засобів захисту
- Впровадження шкідливого коду через MSBuild у процес dllhost.exe
Рекомендації щодо захисту
Фахівці з кібербезпеки рекомендують організаціям, що використовують SAP NetWeaver:
- Терміново встановити останні оновлення безпеки
- Провести аудит систем на наявність ознак компрометації
- Перевірити публічні директорії на присутність підозрілих файлів
- Проаналізувати системні журнали на предмет неавторизованої активності
Враховуючи критичність вразливості та підтверджені випадки її активної експлуатації, організаціям необхідно негайно вжити захисних заходів. Експерти також радять посилити моніторинг мережевої активності та впровадити додаткові засоби захисту периметру для виявлення та блокування потенційних атак на вразливі системи SAP.
