Изследователи по сигурността от Vedere Labs към Forescout разкриха, че текущи атаки, насочени към критична уязвимост в SAP NetWeaver, са свързани с китайска хакерска група. Уязвимостта, обозначена като CVE-2025-31324, позволява на неавтентифицирани нападатели да качват злонамерени файлове и да постигнат отдалечено изпълнение на код, което може да доведе до пълен компромис на засегнатите системи.

SAP издаде спешен пач на 24 април за справяне с уязвимостта в модула Visual Composer на SAP NetWeaver, след като компанията ReliaQuest първа засече активни атаки, експлоатиращи слабостта.

Zero-day атаки и компрометиране на защитeни системи

ReliaQuest съобщава за множество компрометирани клиентски системи, при които нападателите са качвали JSP web shell-и в публични директории и са използвали инструмента Brute Ratel в по-късните етапи на атаките. Забележително е, че атаките са били насочени и срещу вече актуализирани сървъри, което подсказва за използване на zero-day експлойт.

Компании като watchTowr, Onapsis и Mandiant потвърждават същото – инсталиране на backdoor-и чрез неоторизирани файлови качвания върху непачнати системи. Onapsis допълва, че още на 20 януари са регистрирани първи признаци на разузнаване и тестване на натоварвания в honeypot среди, а активните експлойти започват от 10 февруари.

Масово излагане на уязвими системи

По данни на Shadowserver Foundation към момента онлайн има 204 изложени SAP NetWeaver сървъра, уязвими към CVE-2025-31324. CTO-то на Onyphe, Патрис Офре, съобщава, че 1284 публични инстанции са били изложени, като поне 474 от тях вече са компрометирани, включително сървъри на около 20 компании от класациите Fortune 500 / Global 500.

Идентифициран заподозрян: Chaya_004

На 29 април е установено, че нова вълна от атаки е свързана с китайския заподозрян хакерски субект Chaya_004, проследен от Vedere Labs. Атаките са идвали от IP адреси със самоподписани сертификати, имитиращи Cloudflare, като мнозинството са на китайски облачни доставчици – Alibaba, Tencent, Huawei Cloud и China Unicom.

При инцидентите е използван китайски уеб-базиран reverse shell инструмент с име SuperShell, което допълнително затвърждава произхода на атаките.

„В рамките на разследването ни установихме зловредна инфраструктура, която вероятно принадлежи на китайски киберактор, когото проследяваме под името Chaya_004“, обясняват от Forescout.

Препоръки към системните администратори

SAP администраторите трябва незабавно да:

• Инсталират последните пачове за SAP NetWeaver;

• Ограничат достъпа до услугите за качване на метаданни;

• Следят системите за подозрително поведение;

• Обмислят временно изключване на Visual Composer, ако е възможно.

Американската агенция за киберсигурност CISA вече включи CVE-2025-31324 в своя каталог на активно експлоатирани уязвимости и изиска от федералните агенции да обезопасят системите си до 20 май, съгласно директива BOD 22-01.

„Тези видове уязвимости са често използвани входни точки  и създават сериозни рискове за федералната инфраструктура“, предупреждава CISA.