Cercetătorii în securitate avertizează că hackerii exploatează activ o vulnerabilitate critică de încărcare nerestricționată a fișierelor în SAP NetWeaver Visual Composer.
SAP NetWeaver este un server de aplicații și o platformă de dezvoltare care rulează și conectează aplicații SAP și non-SAP prin diferite tehnologii.
SAP a lansat actualizări de urgență în afara calendarului obișnuit pentru NetWeaver pentru a remedia o vulnerabilitate zero-day suspectată de execuție de cod la distanță (RCE) exploatată activ pentru a deturna serverele anunță BleepingComputer.
Vulnerabilitatea, urmărită sub CVE-2025-31324 și evaluată ca fiind critică (scor CVSS v3: 10.0), este o vulnerabilitate de încărcare a fișierelor neautentificată în SAP NetWeaver Visual Composer, în special în componenta Metadata Uploader.
Aceasta permite atacatorilor să încarce fișiere executabile rău intenționate fără a se conecta, ceea ce poate duce la executarea de cod la distanță și la compromiterea completă a sistemului.
Deși buletinul informativ al furnizorului nu este public, ReliaQuest a raportat la începutul acestei săptămâni despre o vulnerabilitate exploatată activ pe SAP NetWeaver Visual Composer, în special endpoint-ul „/developmentserver/metadatauploader”, care se aliniază cu CVE-2025-31324.
ReliaQuest a raportat că mai mulți clienți au fost compromiși prin încărcări neautorizate de fișiere pe SAP NetWeaver, atacatorii încărcând webshell-uri JSP în directoare accesibile publicului.
Aceste încărcări au permis executarea de cod la distanță prin simple cereri GET către fișierele JSP, permițând executarea comenzilor din browser, acțiuni de gestionare a fișierelor (încărcare/descărcare) și multe altele.
În faza post-exploatare, atacatorii au implementat instrumentul red team „Brute Ratel”, tehnica de ocolire a securității „Heaven’s Gate” și au injectat cod compilat de MSBuild în dllhost.exe pentru ascunderea atacurilor.
ReliaQuest a menționat în raport că exploatarea nu necesita autentificare și că sistemele compromise au fost complet corectate, indicând faptul că au fost vizate de vulneraitatea zero-day.
Firma de securitate watchTowr a confirmat, de asemenea, că observă o exploatare activă legată de CVE-2025-31324.
„Atacatorii neautentificați pot abuza de funcționalitatea încorporată pentru a încărca fișiere arbitrare într-o instanță SAP NetWeaver, ceea ce înseamnă executarea completă a codului la distanță și compromiterea totală a sistemului”, a declarat CEO-ul watchTowr, Benjamin Harris.
„watchTowr observă o exploatare activă din partea unor atacatori, care folosesc această vulnerabilitate pentru a plasa backdoor-uri tip web shell pe sistemele expuse și a obține acces suplimentar.”
„Această exploatare activă în mediul natural și impactul pe scară largă face incredibil de probabil că vom vedea în curând o exploatare prolifică de către mai multe părți.”
Protejați-vă împotriva atacurilor acum
Vulnerabilitatea afectează Visual Composer Framework 7.50, iar acțiunea recomandată este aplicarea celui mai recent patch.
Această actualizare de securitate de urgență a fost pusă la dispoziție după actualizarea regulată „aprilie 2025” a SAP, așa că, dacă ați aplicat acea actualizare la începutul acestei luni (lansată pe 8 aprilie 2025), sunteți în continuare vulnerabil la CVE-2025-31324.
Compania a lansat o actualizare de securitate care a abordat CVE-2025-31324 pe 25 aprilie.
Mai mult, actualizarea de urgență include remedieri pentru încă două vulnerabilități critice, și anume CVE-2025-27429 (injecție de cod în SAP S/4HANA) și CVE-2025-31330 (injecție de cod în SAP Landscape Transformation).
Cei care nu pot aplica actualizările care abordează CVE-2025-31324 le este recomandat să efectueze următoarele remedieri:
- Restricționarea accesului la endpoint-ul /developmentserver/metadatauploader.
- Dacă Visual Composer nu este utilizat, luați în considerare dezactivarea completă a acestuia.
- Redirecționarea jurnalelor către SIEM și scanarea pentru fișiere neautorizate în calea servlet.
ReliaQuest recomandă efectuarea unei scanări profunde a mediului pentru a localiza și șterge fișierele suspecte înainte de a aplica măsurile de prevenire/corecție.
Un purtător de cuvânt al SAP a contestat printr-o declarație către BleepingComputer faptul că CVE-2025-31324 a fost exploatat cu succes în atacuri reale.
„SAP a fost informată despre o vulnerabilitate în SAP NETWEAVER Visual Composer, care ar fi putut permite executarea de cod neautentificată și neautorizată în anumite Servlet-uri Java”, a declarat purtătorul de cuvânt al SAP.
„SAP nu are cunoștință de faptul că datele sau sistemele clienților SAP au fost afectate de aceste vulnerabilități. O soluție alternativă a fost lansată pe 8 aprilie 2025, iar un patch este disponibil în prezent. Clienților li se recomandă să aplice patch-ul imediat.”
Peste 1.200 de instanțe SAP NetWeaver expuse la internet sunt vulnerabile, 20 de companii din topul Fortune 500/Global 500 sunt afectate
Cercetătorii au confirmat acum că multe servere SAP Netweaver vulnerabile sunt expuse pe internet, ceea ce le face ținte principale pentru atacuri.
Fundația Shadowserver a descoperit cele 427 de servere expuse, avertizând asupra suprafeței masive de atac expuse și a repercusiunilor potențial severe ale exploatării.
Majoritatea sistemelor vulnerabile (149) se află în Statele Unite, urmate de India (50), Australia (37), China (31), Germania (30), Olanda (13), Brazilia (10) și Franța (10).
Cu toate acestea, motorul de căutare pentru apărare cibernetică Onyphe prezintă o imagine mai sumbră, declarând că există 1.284 de servere vulnerabile expuse online, dintre care 474 au fost deja compromise cu webshell-uri.
„Ceva de genul 20 de companii din topul Fortune 500/Global 500 sunt vulnerabile și multe dintre ele sunt compromise”, a declarat pentru CTO-ul Onyphe, Patrice Auffret.
Cercetătorii au raportat că aceștia utilizează webshell-uri cu nume precum „cache.jsp” și „helper.jsp”. Cu toate acestea, Nextron Research afirmă că aceștia folosesc și nume aleatorii, ceea ce face mai dificilă găsirea instanțelor Netweaver vulnerabile.
Deși numărul de servere nu este masiv, riscul este totuși semnificativ, având în vedere că marile companii și corporațiile multinaționale utilizează în mod obișnuit SAP NetWeaver.
Pentru a remedia acest risc, se recomandă aplicarea celei mai recente actualizări de securitate, urmând instrucțiunile furnizorului.
