Критическая уязвимость CVE-2025-31324 в SAP и атаки Qilin RaaS

Критическая уязвимость CVE-2025-31324 в SAP NetWeaver Visual Composer: новый вектор для атак группы Qilin

Недавний отчет компании OP Innovate выявил критическую уязвимость CVE-2025-31324 в SAP NetWeaver Visual Composer, которая открывает злоумышленникам возможность загрузки файлов без проверки подлинности через конечную точку /developmentserver/metadatauploader. Это позволяет ставить web shell и удаленно выполнять вредоносный код, что представляет серьёзную угрозу для корпоративных систем.

Механизм эксплуатации уязвимости

В ходе расследования установлено, что злоумышленники получили доступ к уязвимой конечной точке примерно за три недели до официального публичного раскрытия уязвимости. Примечательно, что ими оказался опытный хакер из группы Qilin ransomware-as-a-service (RaaS), часто ассоциируемой с русскоязычными киберпреступниками.

Использование уязвимости начиналось с эксплуатации неправильно настроенного балансировщика нагрузки, который непреднамеренно открыл доступ к /developmentserver/metadatauploader из интернета. Далее злоумышленники загружали web shell на основе JSP — например, random12.jsp, — что позволило им удалённо выполнять произвольный код.

Тактика атаки и используемые инструменты

• Злоумышленники отправляли исходящие сообщения в инфраструктуру командования и контроля (C2) при помощи Cobalt Strike.
• В систему была загружена полезная нагрузка rs64c.exe — инструмент обратного туннелирования SOCKS5, замаскированный под svchost.exe.
• Такие действия обеспечивали злоумышленникам контроль над инфрастуктурой и возможность перемещения по сети.

Данные ясно указывают на то, что инфраструктура и тактика атаки тесно связаны с операциями группы Qilin. Эта RaaS-группа специализируется на проникновениях через незащищённые веб-приложения с последующим использованием Cobalt Strike для горизонтального перемещения и сбора данных, перед потенциальным развертыванием ransomware.

Влияние и последствия инцидента

Этот случай дополнительно демонстрирует рост числа вредоносных программ, эксплуатирующих уязвимости в корпоративном промежуточном ПО. Индонезийское национальное кибер- и криптографическое агентство опубликовало накануне бюллетень IOC, в котором содержались IP-адреса и пути доступа к инструментам группы Qilin примерно в тот же период.

Совпадение инфраструктурных данных повышает вероятность того, что злоумышленники действительно применяли известные техники и ресурсы Qilin при эксплуатации CVE-2025-31324. Несмотря на использование продвинутых механизмов защиты, таких как брандмауэры и средства EDR, которые блокировали исходящие коммуникации и помещали угрозы в карантин, попытки злоумышленников скрыть следы и стереть доказательства атаки не увенчались успехом благодаря своевременным превентивным мерам.

Рекомендации по снижению рисков

Для минимизации угроз, связанных с CVE-2025-31324 и аналогичными уязвимостями, экспертами рекомендуется следующее:

• Использовать проактивные методы обнаружения и мониторинга уязвимостей, например, специализированный WASP scanner от OP Innovate.
• Обеспечить своевременное обновление систем SAP и устранение выявленных слабых мест.
• Внедрять комплексные меры по защите веб-приложений и промежуточного ПО, включая строгие настройки балансировщиков нагрузки и ограничение доступа к критическим конечным точкам.
• Обучать сотрудников и повышать уровень осведомленности о факторе целенаправленных атак, основанных на уязвимостях промежуточного программного обеспечения.

Данный инцидент подчеркивает необходимость постоянного совершенствования корпоративных стратегий кибербезопасности, особенно в условиях распространения сложных, многоэтапных атак со стороны профессиональных группировок вроде Qilin.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.