Над 10 000 публично достъпни SAP приложения са потенциално изложени на атаки заради критична 0-day уязвимост, която позволява изпълнение на зловреден код на уязвимите системи. Уязвимостта, CVE-2025-31324, е с максимална оценка по CVSS – 10 от 10, и засяга компонента Visual Composer Metadata Uploader в SAP NetWeaver.
Според Националния институт по стандарти и технологии на САЩ (NIST), уязвимостта позволява на неавтентифицирани нападатели да качат изпълними файлове, които могат да нанесат тежки щети на хост системата. SAP вече публикува спешна корекция, включена в бюлетина за сигурност от април 2025 г.
Фирмата за киберсигурност ReliaQuest откри уязвимостта по време на разследване на няколко инцидента с клиенти, при които са били компрометирани системи, въпреки че са имали последните пачове от SAP.
Нападателите са използвали уязвимостта във файла Metadata Uploader, за да качат уебшел скриптове (JSP) чрез фалшиви POST заявки, които след това са изпълнявани чрез GET заявки, осигурявайки пълен контрол над сървъра.
Атакуващите са използвали Brute Ratel – платформа за командване и контрол (C2), и Heaven’s Gate – техника за заобикаляне на защити, чрез преход между 32-битови и 64-битови изпълнения. Благодарение на тези инструменти, атаките включват:
Кодови инжекции в системни процеси
Криптирано зареждане на пейлоуди в паметта
Ескалация на привилегии
Извличане на идентификационни данни
Латерално движение в мрежата
ReliaQuest подозира, че забавянето между първоначалния достъп и последващите действия (в някои случаи няколко дни), подсказва за участие на посредници (initial access brokers), които продават достъпа на други злонамерени групи.
Компанията Onapsis изчислява, че над 10 000 SAP приложения, достъпни през интернет, може да са изложени на риск. Според нея, експлоатацията на уязвимостта може да предостави на атакуващите пълен контрол над критични бизнес процеси, с възможност за:
Шпионаж
Саботаж
Измами и манипулации с чувствителни данни
Особено тревожно е, че уязвимият компонент не е активиран по подразбиране, което затруднява установяването на точния брой засегнати инсталации.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
