Нов експлойт за критични уязвимости в SAP NetWeaver застрашава организации по целия свят

Появи се нов експлойт, който комбинира две вече закърпени критични уязвимости в SAP NetWeaver, поставяйки под сериозен риск организациите от системни компромати и кражба на данни.

Според компанията за сигурност Onapsis, експлойтът обединява CVE-2025-31324 и CVE-2025-42999, което позволява заобикаляне на автентикацията и постигане на отдалечено изпълнение на код (RCE).

CVE-2025-31324 (CVSS 10.0) – липсваща проверка на авторизация в Visual Composer сървъра за разработка на SAP NetWeaver
CVE-2025-42999 (CVSS 9.1) – небезопасна десериализация във Visual Composer сървъра за разработка

Уязвимостите бяха поправени от SAP през април и май 2025 г., но вече са били активно експлоатирани като zero-day поне от март.

Активно оръжие в ръцете на киберпрестъпници

Множество рансъмуер и групи за изнудване, включително Qilin, BianLian и RansomExx, вече използват уязвимостите. Освен тях, и шпионски екипи с връзки към Китай са провеждали атаки срещу мрежи от критична инфраструктура.

Първите публични данни за експлойта се появиха миналата седмица във vx-underground, като авторство се приписва на новата коалиция Scattered Lapsus$ Hunters (формирана от Scattered Spider и ShinyHunters).

„Тези уязвимости позволяват на неавтентициран атакуващ да изпълнява произволни команди в целевата SAP система, включително да качва файлове,“ предупреждават от Onapsis. „Това води до пълен компромат на системата, бизнес процесите и данните на SAP.“

Как работи атаката

Атакуващите първо използват CVE-2025-31324, за да заобиколят автентикацията и качат зловреден полезен товар. След това чрез CVE-2025-42999 този товар се десериализира и изпълнява с администраторски права, предоставяйки на атакуващите неоторизиран достъп до системните ресурси и чувствителните данни.

Експлойтът може да бъде използван не само за качване на web shell, но и за living-off-the-land (LotL) атаки – директно изпълнение на системни команди без оставяне на допълнителни артефакти.

Повишена заплаха и нови рискове

Onapsis посочва, че публикуването на нови „deserialization gadgets“ е особено тревожно, тъй като те могат да бъдат преизползвани и при други SAP уязвимости, закърпени през юли 2025 г., включително:

CVE-2025-30012 (CVSS 10.0)
CVE-2025-42963 (CVSS 9.1)
CVE-2025-42964 (CVSS 9.1)
CVE-2025-42966 (CVSS 9.1)
CVE-2025-42980 (CVSS 9.1)

Препоръки

Onapsis призовава организациите, използващи SAP:

незабавно да приложат всички налични актуализации,
да ограничат достъпа до SAP приложения от интернет,
и да следят внимателно системите си за признаци на компрометиране.

#SAP NetWeaver, # анализи, # атаки, # бъгове

По материали от Интернет

Подобни

Next.js и React2Shell уязвимостта се експлоатира масово

9.12.2025

vulnerabilities pexels-shkrabaanthony-5475752

Kритична уязвимост в Cal.com

9.12.2025

Масово блокиране на Porsche в Русия

8.12.2025

PromptPwnd - нов клас уязвимости разкрива риск от компрометиране на CI/CD

8.12.2025

Критични уязвимости в Avast

8.12.2025

Китайски хакери вече експлоатират критичната уязвимост React2Shell

6.12.2025

Споделете

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

"Обясняваме сложните неща с прости думи"