Критическая уязвимость CVE-2025-31324: активные атаки на SAP NetWeaver
Источник: labs.withsecure.com
29 апреля 2025 года в каталог известных эксплуатируемых уязвимостей CISA была добавлена критическая уязвимость нулевого дня CVE-2025-31324. Данная уязвимость затрагивает компонент Visual Composer в SAP NetWeaver версии 7.50 и предоставляет злоумышленникам возможность загружать вредоносные файлы и выполнять произвольный код без прохождения проверки подлинности. Угрозы, связанные с этой уязвимостью, активно использовались с марта 2025 года, до выхода исправления от SAP 26 апреля 2025 года.
Механизм эксплуатации уязвимости
Уязвимость CVE-2025-31324 связана с недостаточной проверкой файлов в конечной точке /developmentserver/metadatauploader. Злоумышленники использовали этот канал для загрузки веб-оболочек JavaServer Pages (JSP), что позволяло осуществлять удаленное выполнение команд.
Особое внимание привлекает инцидент, выявленный в ходе операции по поиску угроз WithSecure Incident Response (IR). Специалисты обнаружили вредоносное действие, исходящее из веб-оболочки helper.jsp на серверах SAP NetWeaver. Вредоносные команды использовали законную утилиту Windows certutil для загрузки и активации XMRig coin miner с подозрительного IP-адреса (23.95.123.5:666).
Динамика атак и вредоносных действий
Согласно отчету, веб-оболочка была развернута 18 марта 2025 года через специальный POST-запрос, предоставляющий постоянный доступ к скомпрометированной системе. Последующие действия злоумышленников включали:
- Многократное развертывание полезной нагрузки;
- Попытки разведки;
- Загрузку другой полезной нагрузки (s.exe) 26 апреля 2025 года, связывающей с тем же инфраструктурным контекстом.
28 апреля 2025 года злоумышленники пытались выполнить команды Bash в кодировке base64 на системе Windows, что указывает на то, что другие хакеры использовали существование веб-оболочки для дальнейшей эксплуатации.
Рекомендации по обеспечению безопасности
Чтобы смягчить последствия инцидента, скомпрометированная система была изолирована, а для предотвращения дальнейшего использования применены следующие меры:
- Мониторинг несанкционированных JSP-файлов;
- Обнаружение неправомерного использования законных инструментов, таких как certutil;
- Поддержание оперативного управления исправлениями;
- Регулярное выявление угроз для проактивного предотвращения возможных инцидентов.
Этот инцидент подчеркивает изощренность и эволюционирующую природу хакеров, которые, в частности, используют законные инструменты и уязвимости для обеспечения постоянного доступа и установки вредоносных программ. Организациям необходимо сохранять бдительность и проактивность в своих мерах безопасности, чтобы успешно адаптироваться к динамичному ландшафту угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
