Η SAP έχει κυκλοφορήσει ενημερώσεις έκτακτης ανάγκης εκτός ζώνης για το NetWeaver για να διορθώσει μια ενεργά εκμεταλλευόμενη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) που χρησιμοποιείται για τους διακομιστές αεροπειρατείας.
Η ευπάθεια, που παρακολουθείται κάτω CVE-2025-31324 και βαθμολογημένη κρίσιμη (CVSS V3 Score: 10.0), είναι ένα μη αυθεντικό αρχείο μεταφορτώνει την ευπάθεια στο SAP NetWeaver Visual Composer, συγκεκριμένα το στοιχείο μεταφορέα μεταδεδομένων.
Επιτρέπει στους επιτιθέμενους να μεταφορτώσουν κακόβουλα εκτελέσιμα αρχεία χωρίς να χρειάζεται να συνδεθούν, ενδεχομένως να οδηγούν σε απομακρυσμένη εκτέλεση κώδικα και συμβιβασμό πλήρους συστήματος.
Αν και το Δελτίο προμηθευτή Δεν είναι δημόσιο, το ReliAquest ανέφερε νωρίτερα αυτή την εβδομάδα σχετικά με μια ενεργά εκμεταλλευόμενη ευπάθεια στον οπτικό συνθέτη SAP NetWeaver, συγκεκριμένα το τελικό σημείο «/Developmentserver/MetadataUploader», το οποίο ευθυγραμμίζεται με το CVE-2025-31324.
Ευσέβεια αναφερόμενος ότι πολλοί πελάτες διακυβεύονταν μέσω μη εξουσιοδοτημένων μεταφορτώσεων αρχείων στο SAP NetWeaver, με τους επιτιθέμενους να ανεβάζουν το JSP WebShells σε κατάλογους που προσβάσουν από το δημόσιο.
Αυτές οι μεταφορτώσεις επέτρεψαν την εκτέλεση απομακρυσμένου κώδικα μέσω απλών αιτήσεων λήψης στα αρχεία JSP, επιτρέποντας την εκτέλεση εντολών από το πρόγραμμα περιήγησης, τις ενέργειες διαχείρισης αρχείων (μεταφόρτωση/λήψη) και πολλά άλλα.
Στη φάση μετά την εξέλιξη, οι επιτιθέμενοι ανέπτυξαν το εργαλείο Red Ratel Ratel, την τεχνική παράκαμψης της «πύλης του ουρανού» και έγραψε τον κώδικα MSBuild-compared σε dllhost.exe για stealth.
Η ReliAquest σημείωσε στην έκθεση ότι η εκμετάλλευση δεν απαιτούσε έλεγχο ταυτότητας και ότι τα συμβιβασμένα συστήματα ήταν πλήρως επιδιορθωμένα, υποδεικνύοντας ότι στοχεύονταν σε εκμετάλλευση μηδενικής ημέρας.
Η εταιρεία Watchtowr επιβεβαίωσε επίσης στον BleepingComputer που βλέπουν ενεργό εκμετάλλευση που συνδέεται με το CVE-2025-31324.
“Οι μη αυθεντικοί επιτιθέμενοι μπορούν να καταχραστούν την ενσωματωμένη λειτουργικότητα για να μεταφορτώσουν αυθαίρετα αρχεία σε μια παρουσία SAP NetWeaver, που σημαίνει πλήρη απομακρυσμένη εκτέλεση κώδικα και συμβιβασμό συνολικού συστήματος”, δήλωσε ο CEO της Watchtowr Benjamin Harris.
“Το Watchtowr βλέπει ενεργό εκμετάλλευση από ηθοποιούς απειλής, οι οποίοι χρησιμοποιούν αυτή την ευπάθεια για να αποβάλλουν τα backdoors web σε εκτεθειμένα συστήματα και να αποκτήσουν περαιτέρω πρόσβαση”.
“Αυτή η ενεργή εκμετάλλευση και η ευρέως διαδεδομένη αντίκτυπο καθιστά απίστευτα πιθανό ότι σύντομα θα δούμε την παραγωγική εκμετάλλευση από πολλά μέρη”.
Ο BleepingComputer έρχεται σε επαφή με το SAP με ερωτήσεις σχετικά με την ενεργό εκμετάλλευση, αλλά δεν έχει λάβει απάντηση αυτή τη στιγμή.
Προστατέψτε από επιθέσεις τώρα
Η ευπάθεια επηρεάζει το Visual Composer Framework 7.50 και η συνιστώμενη ενέργεια είναι να εφαρμοστεί το τελευταίο έμπλαστρο.
Αυτή η ενημερωμένη έκδοση επείγουσας ασφάλειας διατέθηκε μετά την κανονική SAP Ενημέρωση ‘Απρίλιος 2025’αν εφαρμόσατε αυτήν την ενημέρωση νωρίτερα αυτό το μήνα (κυκλοφόρησε στις 8 Απριλίου 2025), είστε ακόμα ευάλωτοι στο CVE-2025-31324.
Επιπλέον, η ενημέρωση έκτακτης ανάγκης περιλαμβάνει διορθώσεις για δύο ακόμη κρίσιμες ευπάθειες, δηλαδή CVE-2025-27429 (κώδικας έγχυσης στο SAP S/4HANA) και CVE-2025-31330 (έγχυση κώδικα στο μετασχηματισμό του τοπίου SAP).
Εκείνοι που δεν μπορούν να εφαρμόσουν τις ενημερώσεις που απευθύνονται στο CVE-2025-31324 συνιστώνται για την εκτέλεση των ακόλουθων μετριασμών:
- Περιορίστε την πρόσβαση στο τελικό σημείο /DevelopmentServer /MetadataUploader.
- Εάν ο οπτικός συνθέτης δεν χρησιμοποιείται, σκεφτείτε να το απενεργοποιήσετε εξ ολοκλήρου.
- Προωθούμενα αρχεία καταγραφής στο SIEM και σάρωση για μη εξουσιοδοτημένα αρχεία στη διαδρομή Servlet.
Το ReliAquest συνιστά να εκτελέσετε μια βαθιά σάρωση περιβάλλοντος για να εντοπίσετε και να διαγράψετε αρχεία ύποπτων πριν από την εφαρμογή των μετριασμών.
VIA: bleepingcomputer.com
