Критическая уязвимость CVE-2025-31324 в SAP NetWeaver: эксплуатация и риски

29 апреля 2025 года уязвимость CVE-2025-31324 в SAP NetWeaver была включена в каталог известных эксплуатируемых уязвимостей CISA после активного использования злоумышленниками, начавшегося 22 апреля 2025 года. Эта критическая уязвимость нулевого дня затрагивает компонент Visual Composer версии 7.50 и ставит под угрозу безопасность корпоративных систем, позволяя атакующим загружать и запускать вредоносный код без прохождения аутентификации.

Суть уязвимости и механизм эксплуатации

Уязвимость возникает из-за недостаточной проверки файлов на конечной точке /developmentserver/metadatauploader. Злоумышленники отправляют специально сформированные POST-запросы, загружая веб-оболочки на основе JavaServer Pages (JSP), которые обеспечивают удалённое выполнение команд и полный несанкционированный доступ к системе.

Расследование, проведённое компанией WithSecure, выявило, что попытки эксплуатации CVE-2025-31324 датируются не позднее 18 марта 2025 года, когда впервые была найдена webshell с именем helper.jsp. Данная оболочка использовалась для выполнения команд через HTTP-запросы, что дало злоумышленникам возможность развернуть майнер криптовалюты XMRig.

Тактика и стратегия атаки

• Использование легального инструмента Windows certutil для загрузки вредоносного ПО — это классический пример техники living off the land, когда злоумышленники применяют стандартные системные утилиты в своих целях.
• Вредоносные команды выполнялись несколькими участниками кибератаки, что говорит о координированных действиях и многоэтапном плане вредоносной кампании.
• Изначальным этапом было развертывание криптомайнера XMRig, в то время как последующие вмешательства включали сбор разведывательной информации и картографирование внутренней сети компании для дальнейшего движения по инфраструктуре.

Реакция и рекомендации по безопасности

Для локализации и устранения угрозы были предприняты следующие процедурные меры:

• Изоляция скомпрометированной системы;
• Установка патчей и исправлений для устранения уязвимости CVE-2025-31324;
• Удаление вредоносных webshell;
• Мониторинг активности, связанной с webshells и обнаружение использования легальных утилит вроде certutil в подозрительных сценариях;
• Своевременное управление исправлениями и регулярный анализ журналов безопасности для выявления аномалий.

«Проактивный поиск угроз важен для обнаружения ранних признаков компрометации до того, как атакующие смогут развернуть вредоносную нагрузку», — подчёркивают эксперты по информационной безопасности.

Выводы

Инцидент с CVE-2025-31324 — яркий пример растущей изощренности киберпреступников. Злоумышленники не только используют найденные уязвимости для получения постоянного доступа, но и мастерски обращаются с легальными инструментами операционных систем, превращая их в средства атак. Такая тактика усложняет обнаружение и реагирование на угрозы.

Поэтому постоянный мониторинг, оперативное реагирование и внедрение комплексных мер кибербезопасности остаются ключевыми аспектами защиты корпоративных систем от современных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.