Недавнее подтверждение SAP о серьезной уязвимости в системе NetWeaver вызвало широкое беспокойство в сфере информационной безопасности. Уязвимость, обнаруженная в компоненте Visual Composer Metadata Uploader, позволяет злоумышленникам без авторизации загружать вредоносные исполняемые файлы на сервер, тем самым обеспечивая полный контроль над системой. Эксплуатация этой дыры уже ведется, и существует доказательство использования уязвимости в атаках с характерными признаками нулевого дня. В статье будет подробно рассмотрено, как функционирует данный баг, каким образом злоумышленники используют его для достижения своих целей, а также какие шаги необходимо предпринять для минимизации рисков. SAP NetWeaver давно считается краеугольным камнем ИТ-инфраструктуры многих крупных предприятий и государственных учреждений.
Платформа отвечает за выполнение бизнес-приложений и различных сервисов, что делает ее привлекательной целью для хакеров, стремящихся получить доступ к конфиденциальным данным или нарушить критически важные процессы. Открытая уязвимость в системе NetWeaver всегда является серьезной угрозой, особенно если она позволяет атакующим загружать веб-шеллы и выполнять произвольный код с привилегиями системного администратора. В апреле 2025 года эксперты из ReliaQuest и Onapsis подтвердили эксплуатацию новой уязвимости в NetWeaver, получившей идентификатор CVE-2025-31324. Дефект связан с endpoint "/developmentserver/metadatauploader", доступ к которому осуществляется через HTTP/HTTPS без какой-либо аутентификации. Это значит, что злоумышленники могут отправлять специальные POST-запросы, чтобы загрузить произвольные файлы, в том числе веб-шеллы JSP, непосредственно на сервер.
Последнее особенно опасно, так как такие шеллы позволяют злоумышленникам сохранять постоянный удаленный доступ и выполнять широкий спектр вредоносных действий. Эксплуатация уязвимости позволяет хакерам получить доступ с привилегиями пользователя <sid>adm, что эквивалентно полномочиям системного администратора SAP. Это открывает им двери к базе данных SAP, конфигурационным файлам и другим критически важным ресурсам. Вредоносные операции могут включать в себя перехват и изменение данных, внедрение дополнительных вредоносных нагрузок и дальнейшее распространение в инфраструктуре предприятия. Одной из особенностей зафиксированных атак стало использование постэксплуатационной платформы Brute Ratel C4, известной благодаря эффективным методам обхода современных средств безопасности.
Кроме того, в некоторых случаях применялся техники Heaven's Gate — продвинутый метод обхода защиты, основанный на переходе между 32- и 64-битными режимами процессора, что позволяет вредоносному коду работать незаметно и противостоять системным мерам защиты. Исследователи также отметили, что в одном из кейсов злоумышленники в течение нескольких дней не торопились с проведением атакующих действий, что характерно для поведения initial access broker — посредника на черном рынке, который продает доступ другим злоумышленникам. Такая тактика усложняет выявление и противодействие атакам, так как нарушители стараются оставить как можно меньше следов и получить максимальную прибыль. Источники безопасности настоятельно рекомендуют администраторам SAP NetWeaver как можно скорее проверить наличие индикаторов компрометации. К признакам заражения относятся файлы, расположенные по путям C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.
com\irj\servlet_jsp\irj\root и аналогичным директориям, где хранятся JSP веб-шеллы. Для удобства выявления уязвимых инсталляций были выпущены сканеры и шаблоны обнаружения в популярных инструментах безопасности, включая ProjectDiscovery nuclei и Onapsis open-source сканеры. По данным Rapid7, атаки с использованием данной уязвимости обнаружены с конца марта 2025 года. Наибольшее число атак пришлось на производственные компании, что подчеркивает интерес злоумышленников к предприятиям промышленного сектора. При этом наиболее уязвимые серверы располагаются в США, Индии и Китае, а также ряде европейских стран.
По состоянию на конец апреля 2025 года, согласно Shadowserver Foundation, по меньшей мере 427 серверов с этой уязвимостью находятся в открытом доступе в интернете, что представляет серьезную угрозу. SAP оперативно выпустила обновление безопасности, устраняющее проблему CVE-2025-31324. Однако специалисты напоминают, что из-за особенностей внедрения SAP-решений в основном на корпоративных и on-premise системах, ответственность за своевременную установку патчей лежит на пользователях. Отсутствие постоянного обновления повышает риск успешной компрометации систем. Важным моментом является тот факт, что уязвимость оказывается тесно связанной с давно известными проблемами в NetWeaver, в том числе с CVE-2017-9844 и CVE-2017-12637, которые также использовались злоумышленниками для получения информации и загрузки шестов.
Однако CVE-2025-31324 представляет собой новое, более опасное проявление проблемы, позволяющее выполнять произвольную загрузку файлов без аутентификации. Для защиты систем рекомендуется проверить конфигурации, отключить компонент Metadata Uploader, если он не используется, и обеспечить надежный контроль доступа и мониторинг действий. Кроме того, следует использовать средства обнаружения аномалий и привлекать специализированные команды реагирования на инциденты для своевременного обнаружения атак и минимизации ущерба. Данный инцидент ярко демонстрирует, насколько важна регулярная оценка безопасности корпоративных систем и комплексный подход к защите критической инфраструктуры. Злоумышленники постоянно совершенствуют свои методы, комбинируя известные уязвимости с новыми техниками обхода защиты.
Только хорошо налаженные процессы мониторинга, обновления и реагирования способны снизить риски и сохранить бизнес в безопасности. В итоге, уязвимость в SAP NetWeaver CVE-2025-31324 стала тревожным сигналом для всех пользователей и ИТ-специалистов. Она подчеркивает необходимость внимательного отношения к обновлениям, своевременной установке заплат и постоянному мониторингу систем на наличие вредоносной активности. Информационная безопасность остается ключевым фактором устойчивости современных предприятий в условиях растущих угроз со стороны киберпреступников.
