Охотники за угрозами и исследователи безопасности наблюдали широкомасштабную эксплуатацию уязвимости нулевого дня, затрагивающей системы SAP NetWeaver. Уязвимость неограниченной загрузки файлов — CVE-2025-31324 — имеет базовый балл 10 по шкале CVSS и позволяет злоумышленникам загружать файлы напрямую в систему без авторизации.
Дефект программного обеспечения, затрагивающий компонент SAP Visual Composer для SAP NetWeaver, был обнаружен и опубликован компанией ReliaQuest во вторник. В четверг SAP выпустила экстренное исправление для устранения уязвимости , но рекомендации по безопасности от этой корпоративной компании доступны только клиентам SAP, имеющим учетные данные для входа в систему. SAP пока не ответила на запрос о комментарии.
«Это не теоретическая угроза — это происходит прямо сейчас», — написал в электронном письме генеральный директор watchTowr Бенджамин Харрис.
«watchTowr активно эксплуатируется злоумышленниками, которые используют эту уязвимость для внедрения бэкдоров веб-шелла в уязвимые системы и получения дополнительного доступа. Эта активная эксплуатация в реальных условиях и широкое распространение уязвимости делают крайне вероятным, что вскоре мы увидим её массовое использование многими сторонами. Если вы думали, что у вас есть время, то его уже нет».
Исследователи не знают, сколько организаций пострадало от активной эксплуатации уязвимости на сегодняшний день, но watchTowr подтвердил, что наблюдает широкое распространение уязвимости в критически важных отраслях. «Сегодня число попыток и проверок определённо резко возросло», — сказал Харрис.
Неясно, сколько клиентов SAP уже скомпрометировано, но присутствие SAP в государственных и корпоративных системах обширно. У компании более 400 000 клиентов по всему миру.
«Решения SAP часто используются государственными учреждениями и предприятиями, что делает их привлекательными целями для злоумышленников», — сообщили исследователи ReliaQuest в своем блоге.
По оценкам Onapsis, после опроса поисковых систем интернет-серверов Shodan и Censys, около 10 000 экземпляров SAP потенциально уязвимы.
«Проведя дополнительный анализ SAP Netweaver Application Servers Java, мы пришли к выводу, что от 50 до 70% подобных систем, подключенных к интернету, действительно имеют этот компонент. Эта оценка была сделана путём проверки стандартного URL-адреса Visual Composer в целевых системах», — сообщил в электронном письме технический директор Onapsis Х.П. Перес-Эчегойен.
SAP Visual Composer — это инструмент моделирования для SAP NetWeaver, важнейшей платформы, существующей уже несколько десятилетий, которая поддерживает различные приложения SAP и обеспечивает интеграцию с различными источниками.
«SAP Visual Composer не устанавливается по умолчанию, но широко используется, поскольку он является основным компонентом, используемым специалистами по бизнес-процессам для разработки компонентов бизнес-приложений без написания кода», — сказал Перес-Эчегоен в пятничном сообщении в блоге .
По словам Харриса, критический дефект программного обеспечения позволяет неавторизированным злоумышленникам использовать встроенные функции для загрузки файлов в экземпляры SAP NetWeaver и осуществлять полное удаленное выполнение кода, что приводит к полной компрометации системы.
«Мы считаем, что большая часть случаев эксплуатации произошла до раскрытия информации, и считаем, что сейчас уязвимые системы эксплуатирует та же самая банда», — сказал Харрис.
Исследователи не связывают атаки с какой-либо конкретной группой угроз, но watchTowr с большой долей уверенности утверждает, что за атаками стоит посредник с первоначальным доступом, который развертывает бэкдоры, которые могут быть проданы или уже были проданы группировкам, занимающимся разработкой программ-вымогателей.
«Однако роковой недостаток их плана и, в конечном счёте, проблема, с которой они теперь могут столкнуться, заключается в том, что развёрнутые бэкдоры не ограничивали круг лиц, которые могли ими воспользоваться», — сказал Харрис. «Теперь, когда эта информация стала общедоступной, банды, занимающиеся вымогательством, вероятно, сами обнаружат развёрнутые бэкдоры и обойдут стороной необходимость в указанном посреднике первоначального доступа».
Исследователи и специалисты по реагированию на инциденты расследуют многочисленные инциденты с участием клиентов и призывают клиентов SAP NetWeaver немедленно установить исправления на свои системы.
«Это хуже некуда», — сказал Перес-Эчегойен. «Речь идёт об уязвимости CVSS 10, которую можно эксплуатировать удалённо через HTTP, без аутентификации и которая позволяет полностью скомпрометировать систему. Более того, существуют злоумышленники, эксплуатирующие её в реальных условиях».
Дефект программного обеспечения, затрагивающий компонент SAP Visual Composer для SAP NetWeaver, был обнаружен и опубликован компанией ReliaQuest во вторник. В четверг SAP выпустила экстренное исправление для устранения уязвимости , но рекомендации по безопасности от этой корпоративной компании доступны только клиентам SAP, имеющим учетные данные для входа в систему. SAP пока не ответила на запрос о комментарии.
«Это не теоретическая угроза — это происходит прямо сейчас», — написал в электронном письме генеральный директор watchTowr Бенджамин Харрис.
«watchTowr активно эксплуатируется злоумышленниками, которые используют эту уязвимость для внедрения бэкдоров веб-шелла в уязвимые системы и получения дополнительного доступа. Эта активная эксплуатация в реальных условиях и широкое распространение уязвимости делают крайне вероятным, что вскоре мы увидим её массовое использование многими сторонами. Если вы думали, что у вас есть время, то его уже нет».
Исследователи не знают, сколько организаций пострадало от активной эксплуатации уязвимости на сегодняшний день, но watchTowr подтвердил, что наблюдает широкое распространение уязвимости в критически важных отраслях. «Сегодня число попыток и проверок определённо резко возросло», — сказал Харрис.
Неясно, сколько клиентов SAP уже скомпрометировано, но присутствие SAP в государственных и корпоративных системах обширно. У компании более 400 000 клиентов по всему миру.
«Решения SAP часто используются государственными учреждениями и предприятиями, что делает их привлекательными целями для злоумышленников», — сообщили исследователи ReliaQuest в своем блоге.
По оценкам Onapsis, после опроса поисковых систем интернет-серверов Shodan и Censys, около 10 000 экземпляров SAP потенциально уязвимы.
«Проведя дополнительный анализ SAP Netweaver Application Servers Java, мы пришли к выводу, что от 50 до 70% подобных систем, подключенных к интернету, действительно имеют этот компонент. Эта оценка была сделана путём проверки стандартного URL-адреса Visual Composer в целевых системах», — сообщил в электронном письме технический директор Onapsis Х.П. Перес-Эчегойен.
SAP Visual Composer — это инструмент моделирования для SAP NetWeaver, важнейшей платформы, существующей уже несколько десятилетий, которая поддерживает различные приложения SAP и обеспечивает интеграцию с различными источниками.
«SAP Visual Composer не устанавливается по умолчанию, но широко используется, поскольку он является основным компонентом, используемым специалистами по бизнес-процессам для разработки компонентов бизнес-приложений без написания кода», — сказал Перес-Эчегоен в пятничном сообщении в блоге .
По словам Харриса, критический дефект программного обеспечения позволяет неавторизированным злоумышленникам использовать встроенные функции для загрузки файлов в экземпляры SAP NetWeaver и осуществлять полное удаленное выполнение кода, что приводит к полной компрометации системы.
«Мы считаем, что большая часть случаев эксплуатации произошла до раскрытия информации, и считаем, что сейчас уязвимые системы эксплуатирует та же самая банда», — сказал Харрис.
Исследователи не связывают атаки с какой-либо конкретной группой угроз, но watchTowr с большой долей уверенности утверждает, что за атаками стоит посредник с первоначальным доступом, который развертывает бэкдоры, которые могут быть проданы или уже были проданы группировкам, занимающимся разработкой программ-вымогателей.
«Однако роковой недостаток их плана и, в конечном счёте, проблема, с которой они теперь могут столкнуться, заключается в том, что развёрнутые бэкдоры не ограничивали круг лиц, которые могли ими воспользоваться», — сказал Харрис. «Теперь, когда эта информация стала общедоступной, банды, занимающиеся вымогательством, вероятно, сами обнаружат развёрнутые бэкдоры и обойдут стороной необходимость в указанном посреднике первоначального доступа».
Исследователи и специалисты по реагированию на инциденты расследуют многочисленные инциденты с участием клиентов и призывают клиентов SAP NetWeaver немедленно установить исправления на свои системы.
«Это хуже некуда», — сказал Перес-Эчегойен. «Речь идёт об уязвимости CVSS 10, которую можно эксплуатировать удалённо через HTTP, без аутентификации и которая позволяет полностью скомпрометировать систему. Более того, существуют злоумышленники, эксплуатирующие её в реальных условиях».
