Shadow Serveri su identifikovali 454 SAP NetWeaver sistema ranjivih na kritičnu ranjivost nultog dana koja se aktivno iskorišćava u divljini.
Ranjivost, praćena kao CVE-2025-31324 , omogućava neautorizovanim napadačima da otpreme maliciozne datoteke na pogođene sisteme, što potencijalno dovodi do potpunog kompromitovanja sistema.
Kritična greška, koja nosi maksimalnu ocjenu ozbiljnosti CVSS-a od 10,0, utječe na komponentu Metadata Uploader u SAP NetWeaver Visual Composer. Otkrivena u aprilu 2025. od strane istraživača sigurnosti ReliaQuest-a tokom aktivnosti odgovora na incidente, ranjivost je već bila naoružana napadima na organizacije koje koriste čak i potpuno zakrpljene SAP instalacije.
Ranjivost je posebno usmjerena na krajnju tačku “/developmentserver/metadatauploader”, kojoj nedostaju odgovarajuće provjere autorizacije, što omogućava napadačima da učitaju JSP web-shell u javno dostupne direktorije.
Metodologija napada
Tehnika eksploatacije koristi provjeru autorizacije koja nedostaje u komponenti Metadata Uploader, omogućavajući napadačima da otpreme potencijalno maliciozne izvršne datoteke bez provjere autentičnosti. Ova ranjivost je klasifikovana kao CWE-434 (neograničeno otpremanje datoteke opasnog tipa).
Istraživači sigurnosti primjećuju da su u nekim uočenim napadima hakeri koristili sofisticirane alate nakon eksploatacije, uključujući okvir Brute Ratel C4, i tehnike izbjegavanja kao što je Heaven’s Gate kako bi zaobišli mjere zaštite krajnje tačke.
Ranjivost utiče na SAP NetWeaver Visual Composer, koji nije instaliran po defaultu, ali je prisutan u otprilike 50-70% Java sistema, prema istraživanju iz Onapsisa. Jednom kompromitovani, pogođeni sistemi se mogu koristiti za postavljanje dodatnog malicioznog softvera, uspostavljanje trajnog pristupa i eksfiltriranje osjetljivih podataka.
„Ranjivost je posebno opasna jer ne zahtjeva autentifikaciju, relativno je jednostavna za izvršavanje, ne zahtjeva interakciju korisnika i potencijalno daje napadačima potpunu kontrolu nad pogođenim sistemom“, objasnio je Vahagn Vardanian iz RedRays-a.
Ublažavanja
SAP je izdao hitnu zakrpu 24. aprila 2025. putem sigurnosne napomene 3594142, izvan svog redovnog ciklusa zakrpe. Organizacije se snažno ohrabruju da odmah primjene ovu zakrpu ili implementiraju privremeno rješenje opisano u SAP napomeni 3593336 ako zakrpa nije odmah izvodljiva.
Da biste utvrdili jesu li vaši sistemi ranjivi:
- Testirajte da li je URL staza “/developmentserver/metadatauploader” dostupna bez autentifikacije
- Pregledajte dnevnike web servera za pokušaje neovlašćenog pristupa ovoj krajnjoj točki
- Provjerite ima li neočekivanih učitavanja datoteka u logove web servera
- Nadgledajte neovlašćene odlazne veze iz SAP sistema
Stručnjaci za sigurnost preporučuju da ovo tretirate kao sigurnosnu ispravku najvišeg prioriteta i implementirate date zakrpe što je prije moguće. Za organizacije koje ne mogu odmah da zakrpe, implementacija preporučenih zaobilaznih rješenja i poboljšano praćenje su od ključne važnosti za minimiziranje izloženosti riziku.
Organizacijama koje koriste SAP sisteme se savjetuje da implementiraju odgovarajuće sigurnosno praćenje i održavaju redovne rasporede zakrpa kako bi se smanjila buduća izloženost sličnim prijetnjama.
Izvor: CyberSecurityNews
