Компанія SAP випустила позапланові патчі для NetWeaver і виправила вразливість нульового дня, пов’язану з віддаленим виконанням коду (RCE). Передбачається, що цю проблему вже експлуатують для атак брокери первинних доступів.

Уразливість отримала ідентифікатор CVE-2025-31324 і є критичною: 10 балів із 10 можливих за шкалою CVSS. Проблема пов’язана з неаутентифікованим завантаженням файлів у SAP NetWeaver Visual Composer, а саме в компоненті Metadata Uploader. Вона дає змогу зловмисникам завантажувати шкідливі виконувані файли без входу в систему, що потенційно може призвести до віддаленого виконання коду і повної компрометації.

Примітно, що минулого тижня компанія ReliaQuest повідомила про якусь вразливість, яку активно експлуатують, у SAP NetWeaver Visual Composer, а конкретно в /developmentserver/metadatauploader, що відповідає опису CVE-2025-31324.

У компанії писали, що кілька їхніх клієнтів були скомпрометовані через несанкціоноване завантаження файлів у SAP NetWeaver, причому зловмисники завантажували веб-шелли JSP у загальнодоступні каталоги.

Такі завантаження забезпечували віддалене виконання коду через прості GET-запити до JSP-файлів, даючи змогу виконувати команди з браузера, керувати файлами (завантажувати/вивантажувати) тощо.

На етапі постексплуатації атакувальники використовували red team інструмент Brute Ratel, техніку обходу захисту Heaven’s Gate, а також впровадили скомпільований у MSBuild код у dllhost.exe для скритності.

“В одному випадку ми спостерігали, що зловмиснику знадобилося кілька днів, щоб перейти від початкового доступу до виконання подальших дій. На підставі цієї затримки ми вважаємо, що атакувальник міг бути брокером початкового доступу, який отримує і продає доступ іншим злочинцям”, – зазначають фахівці.

У звіті ReliaQuest підкреслюється, що експлуатація уразливості не вимагала аутентифікації, а зламані системи були повністю пропатчені, тобто йшлося про 0-day проблему. Дослідники зазначали, що атаки, найімовірніше, пов’язані з експлуатацією старої помилки NetWeaver (CVE-2017-9844) або якоюсь абсолютно новою проблемою.

Також експлуатацію CVE-2025-31324 підтверджують експерти компанії WatchTowr.

“Неавторизовані зловмисники можуть використовувати вбудовану функціональність для завантаження довільних файлів у SAP NetWeaver, а це означає віддалене виконання коду і повну компрометацію системи, – повідомив виданню Bleeping Computer генеральний директор watchTowr Бенджамін Гарріс (Benjamin Harris). – WatchTowr спостерігає активну експлуатацію цієї вразливості зловмисниками, які використовують її для розгортання бекдорів веб-шеллів і отримання подальшого доступу”.