Aktívne zneužívaná zraniteľnosť v SAP NetWeaver

Spoločnosť SAP vydala bezpečnostné aktualizácie svojho aplikačného servera SAP NetWeaver, ktoré opravujú kritickú zraniteľnosť. CVE-2025-31324 možno zneužiť na nahratie súborov, vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom. Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi na prienik do zraniteľných systémov.

Zraniteľné systémy:

  • SAP NetWeaver bez aplikovanej bezpečnostnej záplaty SAP Security Note 3594142 pre Visual Composer Framework

Pozn.: Zraniteľnosť možno zneužiť len na inštanciách, na ktorých je aktivovaný komponent Visual Composer

Opis zraniteľnosti:

CVE-2025-31324  (CVSS 3.1 skóre: 10,0)

Kritická zraniteľnosť sa nachádza v komponente Visual Composer a spočíva v nedostatočnej kontrole autorizácie. Zraniteľnosť by vzdialený neautentifikovaný útočník zaslaním špeciálne vytvorených HTTP POST požiadaviek na /developmentserver/metadatauploader mohol zneužiť na nahratie ľubovoľných súborov, vykonanie škodlivého kódu a získanie úplnej kontroly nad systémom.

Pre zraniteľnosť je v súčasnosti dostupný proof-of-concept kód demonštrujúci jej zneužitie a je aktívne zneužívaná útočníkmi. Útočníci zraniteľnosť zneužívajú na nahratie webshellov umožňujúcich vykonávanie príkazov na operačnom systéme SAP servera a sťahovanie a spúšťanie ďalšieho škodlivého obsahu. Výskumníci z ReliaQuest zaznamenali šírenie frameworku BRUTE RATEL slúžiaceho na zabezpečenie perzistentného prístupu k systému a použitie injektov HEAVEN’S GATE na obchádzanie detekčných mechanizmov riešení EDR.

Možné škody:

  • Vzdialené vykonanie kódu
  • Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú inštaláciu bezpečnostnej záplaty SAP Security Note 3594142. Zraniteľnosť je možné dočasne mitigovať aj deaktiváciou komponentu Visual Composer, vypnutím aliasu developmentserver a limitovaním prístupu k URL /developmentserver/metadatauploader.

Rovnako odporúčame preveriť prítomnosť pokusov o zneužitie zraniteľnosti, ktoré možno rozdeliť do dvoch fáz. Prvá fáza spočíva v kontrole logov SAP NetWeaver, webového servera, sieťových a bezpečnostných prvkov. Zamerajte sa na hľadanie HTTP POST požiadaviek na /developmentserver/metadatauploader. Druhá fáza spočíva v kontrole obsahu priečinka /j2ee/cluster/apps/sapcom/irj/servlet_jsp/irj/root/ na serveri SAP NetWeaver, do ktorého sú nahrávané súbory pri zneužití zraniteľnosti. Kompletný návod na preverenie prítomnosti pokusov o zneužitie zraniteľnosti môžete nájsť na stránkach bezpečnostných výskumníkov z ReliaQuestRedRays.

V prípade pozitívnych nálezov je potrebné systém považovať za kompromitovaný, izolovať ho a započať relevantné procesy pre riešenie incidentu.

Zdroje: