Proizvođač softvera za preduzeća SAP objavio je u utorak 16 novih i dvije ažurirane bezbjednosne bilješke u okviru Dana bezbjednosnih zakrpa za maj 2025. Dvije od ovih bilješki bave se kritičnim ranjivostima u NetWeaver-u koje su aktivno iskorišćene.
Najozbiljnija među njima je ažuriranje bilješke objavljene 24. aprila, koja se odnosi na CVE-2025-31324 (CVSS ocjena 10/10), kritičnu grešku u komponenti Visual Composer razvojnog servera u NetWeaver-u, koja se koristi za daljinsko izvršavanje koda (RCE), a aktivno je iskorišćena još od januara.
Stotine NetWeaver servera kompromitovane su eksploatacijom CVE-2025-31324, a firma za bezbjednost aplikacija Onapsis upozorava da oportunistički napadači pokušavaju da iskoriste webshell-ove postavljene tokom početnih “zero-day” napada.
Kompanija navodi da se bilježi “značajna aktivnost napadača koji koriste javno dostupne informacije za pokretanje eksploatacije i zloupotrebu webshell-ova koje su postavili originalni napadači, koji su trenutno neaktivni.”
Analiza napada dovela je do otkrića još jednog kritičnog propusta u Visual Composer komponenti NetWeaver-a. Pod oznakom CVE-2025-42999 (CVSS ocjena 9.1), ova ranjivost opisana je kao problem nesigurne deserializacije, a riješena je drugom kritičnom bezbjednosnom bilješkom objavljenom povodom SAP-ovog majskog dana zakrpa.
Prema navodima Onapsis-a, nova zakrpa „otklanja osnovni rizik u komponenti Visual Composer […] uklanjajući zaostali rizik koji je ostao nakon zakrpe za CVE-2025-31324.“
Druga greška je identifikovana nakon rekonstrukcije jednog od originalnih napada, a organizacijama se savjetuje da primijene zakrpe i za CVE-2025-31324 i za CVE-2025-42999, kako bi se u potpunosti zaštitile od trenutnih eksploatacija „u prirodi“.
„SAP je odradio sjajan posao reagovanjem na nove informacije i brzo je izdao dodatnu zakrpu kako bi pojačao zaštitu protiv aktivne eksploatacije,“ navodi Onapsis.
Od kako su u aprilu 2025. objavljene bezbjednosne bilješke, SAP je takođe ažurirao dvije kritične bilješke koje se odnose na probleme sa ubacivanjem koda u S/4HANA (CVE-2025-27429) i Landscape Transformation (CVE-2025-31330). Iako imaju različite CVE oznake, bilješke se odnose na istu grešku.
U utorak, SAP je objavio četiri nove i jednu ažuriranu bezbjednosnu bilješku koje se odnose na greške visokog nivoa ozbiljnosti u sistemima kao što su Supplier Relationship Management, S/4HANA Cloud Private Edition ili On Premise, Business Objects Business Intelligence Platform, Landscape Transformation i PDCE.
Proizvođač softvera je takođe objavio 11 novih bezbjednosnih bilješki koje se bave ranjivostima srednjeg nivoa ozbiljnosti u raznim proizvodima.
Korisnicima SAP-a se preporučuje da što prije primijene bezbjednosne bilješke, posebno imajući u vidu kontinuiranu eksploataciju CVE-2025-31324.
Izvor: SecurityWeek