Уязвимость SAP CVE-2025-31324: угроза полного компрометации систем

Недавний отчет о безопасности выявил критическую уязвимость нулевого дня, известную как CVE-2025-31324, которая затрагивает SAP Visual Composer в стеке Java SAP NetWeaver. Оценка уязвимости по шкале CVSS составила максимальные 10,0, что подчеркивает уровень угрозы, исходящей от данного инцидента.

Описание уязвимости

Уязвимость позволяет злоумышленникам без проверки подлинности загружать произвольные файлы, включая вредоносные веб-оболочки, что может привести к полному компрометированию системы. Этот компонент, хотя и не установлен по умолчанию, активно используется в существующих системах, делая от 50% до 70% систем Java потенциально уязвимыми.

Метод эксплуатации

Метод использования уязвимости включает в себя:

• Отправку POST-запроса, который обходит проверки подлинности.
• Выполнение произвольных команд на уровне привилегий пользователя операционной системы sid adm.

Это дает злоумышленникам доступ ко всем ресурсам SAP, позволяя осуществлять:

• Изменение финансовых записей.
• Развертывание программ-вымогателей.
• Повреждение данных.

Официальное признание уязвимости

SAP официально признала уязвимость 24 апреля 2025 года, отметив, что основная проблема связана с неадекватными проверками авторизации на сервере разработки SAP NetWeaver.

Текущие угрозы

Расследования показали, что злоумышленники уже начали использовать уязвимость. Наблюдаются загрузки вредоносных файлов, таких как .jsp, в каталоги, обычно ассоциируемые с SAP, такие как irjroot и irjwork.

Следствием такого использования может быть полный контроль над сервером приложений SAP, что создает значительные операционные риски, включая несанкционированную коммерческую деятельность и манипулирование данными.

Рекомендации для организаций

Организациям настоятельно рекомендуется:

• Уделить приоритетное внимание к исправлениям для CVE-2025-31324.
• Принять соответствующие меры по смягчению последствий в случае невозможности применения исправлений.

Чтобы оценить уязвимость, администраторам требуется проверить списки компонентов системы SAP на наличие платформы Visual Composer Framework (VCFRAMEWORK). Системы, работающие под управлением SAP NetWeaver Java версии 7.x с установленным компонентом, по-прежнему подвержены риску, особенно если они устарели и больше не получают обновлений.

Инструменты для проверки

Для анализа текущего состояния безопасности рекомендуется использовать инструменты Onapsis Assess, которые помогают:

• Выявить неисправленные системы.
• Определить, были ли применены необходимые обходные пути.

Кроме того, использование Onapsis Defend может помочь в мониторинге и предупреждении о вредоносных взаимодействиях с уязвимым компонентом, хотя существуют ограничения по ведению журнала действий после эксплуатации.

Заключение

С учетом серьезности данной уязвимости, заинтересованным сторонам настоятельно рекомендуется действовать решительно, чтобы обезопасить свои системы SAP от рисков, связанных с CVE-2025-31324.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.