Компания SAP выпустила внеплановые патчи для NetWeaver и исправила уязвимость нулевого дня, связанную с удаленным выполнением кода (RCE). Предполагается, что эту проблему уже эксплуатируют для атак брокеры первоначальных доступов.
Уязвимость получила идентификатор CVE-2025-31324 и является критической: 10 баллов из 10 возможных по шкале CVSS. Проблема связана с неаутентифицированной загрузкой файлов в SAP NetWeaver Visual Composer, а именно в компоненте Metadata Uploader. Она позволяет злоумышленникам загружать вредоносные исполняемые файлы без входа в систему, что потенциально может привести к удаленному выполнению кода и полной компрометации.
Примечательно, что на прошлой неделе компания ReliaQuest сообщила о некой активно эксплуатируемой уязвимости в SAP NetWeaver Visual Composer, а конкретно в /developmentserver/metadatauploader, что соответствует описанию CVE-2025-31324.
В компании писали, что несколько их клиентов были скомпрометированы через несанкционированную загрузку файлов в SAP NetWeaver, причем злоумышленники загружали веб-шеллы JSP в общедоступные каталоги.
Такие загрузки обеспечивали удаленное выполнение кода через простые GET-запросы к JSP-файлам, позволяя выполнять команды из браузера, управлять файлами (загружать/выгружать) и так далее.
На этапе постэксплуатации атакующие использовали red team инструмент Brute Ratel, технику обхода защиты Heaven's Gate, а также внедрили скомпилированный в MSBuild код в dllhost.exe для скрытности.
«В одном случае мы наблюдали, что злоумышленнику потребовалось несколько дней, чтобы перейти от первоначального доступа к выполнению последующих действий. На основании этой задержки мы полагаем, что атакующий мог быть брокеров первоначального доступа, получающим и продающим доступ другим преступникам», — отмечают специалисты.
В отчете ReliaQuest подчеркивается, что эксплуатация уязвимости не требовала аутентификации, а взломанные системы были полностью пропатчены, то есть речь шла о 0-day проблеме. Исследователи отмечали, что атаки, скорее всего, связаны с эксплуатацией старой ошибки NetWeaver (CVE-2017-9844) или какой-то совершенно новой проблемой.
Также эксплуатацию CVE-2025-31324 подтверждают эксперты компании WatchTowr.
«Неавторизованные злоумышленники могут использовать встроенную функциональность для загрузки произвольных файлов в SAP NetWeaver, а это означает удаленное выполнение кода и полную компрометацию системы, — сообщил изданию Bleeping Computer генеральный директор watchTowr Бенджамин Харрис (Benjamin Harris). — WatchTowr наблюдает активную эксплуатацию этой уязвимости злоумышленниками, которые используют ее для развертывания бэкдоров веб-шеллов и получения дальнейшего доступа».
