CVE-2025-31324: критическая RCE в SAP NetWeaver через metadatauploader

CVE-2025-31324 — серьезная уязвимость удаленного выполнения кода (RCE) в сервере разработки SAP NetWeaver, которой злоумышленники начали пользоваться в марте 2025 года. Оценка CVSS равна 8, что классифицирует проблему как критическую и указывает на реальную возможность полной компрометации системы и нарушения бизнес-процессов ERP.

Суть уязвимости

Уязвимость возникает из-за неправильной проверки файлов моделей, загружаемых через конечную точку metadatauploader. Злоумышленники отправляют изменённые файлы, часто упакованные как ZIP/JAR и переданные с указанием контента в виде octet-stream. Сервер, не выполнив должной валидации, ошибочно обрабатывает такой контент как безопасный, после чего при последующей обработке модели происходит выполнение встроенного вредоносного кода.

Хронология и масштаб эксплуатации

• Активное злоупотребление уязвимостью началось около марта 2025 года.
• После появления эксплойта в августе 2025 года эксплуатация получила более широкое распространение.
• Исправления от SAP были выпущены в сентябре 2025 года; уязвимы версии серверов приложений SAP NetWeaver до релиза этих патчей.

Типичная цепочка атаки

• Создание вредоносной полезной нагрузки в формате ZIP/JAR, включающей модифицированные определения моделей или вредоносные классы.
• Отправка полезной нагрузки через HTTP POST на конечную точку metadatauploader с заголовком типа octet-stream.
• Сервер, не выполнив корректной валидации, принимает и сохраняет файл; при последующей обработке модели происходит выполнение кода.
• Установление постоянного доступа: развёртывание веб‑шеллов (helper.jsp, cache.jsp) и бэкдора Auto-Color на Linux, способного запускать обратные оболочки, манипулировать файлами и действовать скрытно.

Последствия компрометации

• Постоянный доступ злоумышленников к системе и агентам в инфраструктуре.
• Кража данных и утечка конфиденциальной информации.
• Перемещение внутри корпоративной сети (lateral movement) и подрыв целостности сегментов ERP.
• Серьёзные сбои в работе ключевых бизнес‑процессов.

«Наличие CVE-2025-31324 подчеркивает острую необходимость в механизмах безопасной загрузки в корпоративном программном обеспечении промежуточного уровня.»

Рекомендации по защите и проверке

• Немедленно применить обновления, выпущенные SAP в сентябре 2025 года — приоритет для всех инсталляций SAP NetWeaver.
• Внедрить и настроить IPS/IDS, способные идентифицировать POST‑запросы к metadatauploader с указанием типа контента octet-stream и наличием двоичной (binary) полезной нагрузки.
• Настроить EDR для отслеживания аномалий в поведении процессов SAP, в частности неожиданных вызовов командной строки и сетевых соединений.
• Ограничить доступ серверов разработки к доверенным сетям и сегментам, минимизировать сетевую экспозицию dev‑инфраструктуры.
• Проверка исправлений: убедиться, что SAP NetWeaver обновлён до последней версии, и выполнить тесты отправки запросов на metadatauploader, чтобы подтвердить, что сервер корректно отклоняет двоичную и упакованную вредоносную полезную нагрузку.

Заключение. CVE-2025-31324 демонстрирует, насколько опасными могут быть ошибки валидации входящих файлов в системах промежуточного слоя. Для снижения рисков необходимы скоординированные действия: оперативное применение патчей, усиленный мониторинг, проверка поведения приложений и ограничение сетевого доступа дев‑серверов. Без этих мер потенциальные последствия для бизнеса и безопасности данных остаются критическими.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.