- 19,445
- 40
- 8 Ноя 2022
Софт для комфортного бизнеса переживает не лучшие времена. Где причина?
Неизвестные злоумышленники научились внедрять вредоносные веб-оболочки в SAP NetWeaver. Атакующие используют JSP-файлы для несанкционированной загрузки данных и исполнения произвольного кода в системе.
Специалисты компании Для просмотра ссылки Войдиили Зарегистрируйся полагают: источником проблемы может служить либо ранее обнаруженная Для просмотра ссылки Войди или Зарегистрируйся CVE-2017-9844, либо пока не зарегистрированная брешь, связанная с удаленным внедрением файлов. На возможное существование нового изъяна указывает тревожный факт — некоторые из пострадавших систем уже содержали все последние обновления безопасности.
Исследователи локализовали проблему в конечной точке "/developmentserver/metadatauploader" среды NetWeaver. Через этот компонент киберпреступники размещают вредоносные JSP-оболочки в директории "servlet_jsp/irj/root/". Подобный механизм позволяет надолго закрепиться в инфраструктуре и доставлять дополнительные вредоносные программы.
Внедренные JSP-оболочки наделены широким функционалом: они способны загружать неавторизованные файлы, устанавливать полный контроль над зараженными машинами, запускать команды удаленно и извлекать конфиденциальные данные из системы.
В ряде инцидентов аналитики зафиксировали следы использования фреймворка Brute Ratel C4, предназначенного для пост-эксплуатации. Нарушители также применяли технику Heaven's Gate, позволяющую обходить защитные механизмы конечных точек.
В одном из эпизодов злоумышленникам потребовалось несколько дней, чтобы перейти от первичного проникновения к следующим этапам атаки. Такая неспешность наводит на мысль: за вторжением может стоять брокер первичного доступа, который добывает и продает доступ к скомпрометированным системам другим группировкам на теневых форумах.
Параллельно с этими событиями SAP выпустила патч для устранения критической уязвимости CVE-2025-31324, получившей максимальную оценку опасности — 10 баллов из 10 по шкале CVSS. Найденная брешь позволяет нарушителям загружать любые файлы в систему без ограничений.
Как поясняют разработчики, компонент SAP NetWeaver Visual Composer Metadata Uploader оказался лишен необходимых механизмов авторизации. Из-за этого неаутентифицированный агент может внедрять потенциально опасные исполняемые файлы, способные нанести серьезный ущерб хост-системе.
Существуют весомые основания полагать, что CVE-2025-31324 — та самая неизвестная уязвимость, о которой шла речь выше: обе бреши затрагивают модуль загрузки метаданных и демонстрируют идентичные признаки.
Новая Для просмотра ссылки Войдиили Зарегистрируйся появилась спустя месяц после того, как Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило об активной эксплуатации другой опасной уязвимости в NetWeaver — CVE-2017-12637. Она открывает злоумышленникам доступ к критически важным конфигурационным файлам SAP.
В свежем комментарии для The Hacker News эксперты ReliaQuest подтвердили: обнаруженная ими вредоносная активность действительно связана с новой уязвимостью CVE-2025-31324. Организация выявила проблему во время расследования 22 апреля 2025 года. Изначально аналитики предполагали наличие бреши, связанной с удаленным внедрением файлов, однако позже SAP классифицировала ее как уязвимость неограниченной загрузки.
Компания Onapsis, специализирующаяся на безопасности SAP, опубликовала детальный отчет о механизме эксплуатации. Злоумышленники могут задействовать протоколы HTTP/HTTPS для отправки специально сформированных POST-запросов к конечной точке "/developmentserver/metadatauploader". Наибольшую опасность представляет тот факт, что для этого не требуется никакой аутентификации.
Технический директор Onapsis Хуан Пабло Перес-Эчегойен пояснил: после успешной эксплуатации уязвимости нарушители получают возможность загружать произвольные файлы в систему. В реальных атаках уже зафиксированы многочисленные случаи внедрения веб-оболочек в уязвимые инфраструктуры.
Подобные оболочки предоставляют преступникам возможность выполнять любые команды в контексте системы с привилегиями пользователя операционной системы <sid>adm. Такой уровень доступа открывает путь ко всем ресурсам SAP. На текущий момент ни одна известная хакерская группировка не взяла на себя ответственность за серию атак.
Эксперты Onapsis акцентируют внимание: привилегии <sid>adm позволяют злоумышленникам управлять базовой операционной системой SAP, используя учетные данные и права процессов, работающих на сервере приложений. В результате они получают неограниченный доступ к любым компонентам SAP, включая системную базу данных без каких-либо ограничений.
Специалисты настоятельно рекомендуют системным администраторам проверить следующие директории на наличие индикаторов компрометации:
C:\usr\sap<SID><InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\root
C:\usr\sap<SID><InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work
C:\usr\sap<SID><InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work\sync
Неизвестные злоумышленники научились внедрять вредоносные веб-оболочки в SAP NetWeaver. Атакующие используют JSP-файлы для несанкционированной загрузки данных и исполнения произвольного кода в системе.
Специалисты компании Для просмотра ссылки Войди
Исследователи локализовали проблему в конечной точке "/developmentserver/metadatauploader" среды NetWeaver. Через этот компонент киберпреступники размещают вредоносные JSP-оболочки в директории "servlet_jsp/irj/root/". Подобный механизм позволяет надолго закрепиться в инфраструктуре и доставлять дополнительные вредоносные программы.
Внедренные JSP-оболочки наделены широким функционалом: они способны загружать неавторизованные файлы, устанавливать полный контроль над зараженными машинами, запускать команды удаленно и извлекать конфиденциальные данные из системы.
В ряде инцидентов аналитики зафиксировали следы использования фреймворка Brute Ratel C4, предназначенного для пост-эксплуатации. Нарушители также применяли технику Heaven's Gate, позволяющую обходить защитные механизмы конечных точек.
В одном из эпизодов злоумышленникам потребовалось несколько дней, чтобы перейти от первичного проникновения к следующим этапам атаки. Такая неспешность наводит на мысль: за вторжением может стоять брокер первичного доступа, который добывает и продает доступ к скомпрометированным системам другим группировкам на теневых форумах.
Параллельно с этими событиями SAP выпустила патч для устранения критической уязвимости CVE-2025-31324, получившей максимальную оценку опасности — 10 баллов из 10 по шкале CVSS. Найденная брешь позволяет нарушителям загружать любые файлы в систему без ограничений.
Как поясняют разработчики, компонент SAP NetWeaver Visual Composer Metadata Uploader оказался лишен необходимых механизмов авторизации. Из-за этого неаутентифицированный агент может внедрять потенциально опасные исполняемые файлы, способные нанести серьезный ущерб хост-системе.
Существуют весомые основания полагать, что CVE-2025-31324 — та самая неизвестная уязвимость, о которой шла речь выше: обе бреши затрагивают модуль загрузки метаданных и демонстрируют идентичные признаки.
Новая Для просмотра ссылки Войди
В свежем комментарии для The Hacker News эксперты ReliaQuest подтвердили: обнаруженная ими вредоносная активность действительно связана с новой уязвимостью CVE-2025-31324. Организация выявила проблему во время расследования 22 апреля 2025 года. Изначально аналитики предполагали наличие бреши, связанной с удаленным внедрением файлов, однако позже SAP классифицировала ее как уязвимость неограниченной загрузки.
Компания Onapsis, специализирующаяся на безопасности SAP, опубликовала детальный отчет о механизме эксплуатации. Злоумышленники могут задействовать протоколы HTTP/HTTPS для отправки специально сформированных POST-запросов к конечной точке "/developmentserver/metadatauploader". Наибольшую опасность представляет тот факт, что для этого не требуется никакой аутентификации.
Технический директор Onapsis Хуан Пабло Перес-Эчегойен пояснил: после успешной эксплуатации уязвимости нарушители получают возможность загружать произвольные файлы в систему. В реальных атаках уже зафиксированы многочисленные случаи внедрения веб-оболочек в уязвимые инфраструктуры.
Подобные оболочки предоставляют преступникам возможность выполнять любые команды в контексте системы с привилегиями пользователя операционной системы <sid>adm. Такой уровень доступа открывает путь ко всем ресурсам SAP. На текущий момент ни одна известная хакерская группировка не взяла на себя ответственность за серию атак.
Эксперты Onapsis акцентируют внимание: привилегии <sid>adm позволяют злоумышленникам управлять базовой операционной системой SAP, используя учетные данные и права процессов, работающих на сервере приложений. В результате они получают неограниченный доступ к любым компонентам SAP, включая системную базу данных без каких-либо ограничений.
Специалисты настоятельно рекомендуют системным администраторам проверить следующие директории на наличие индикаторов компрометации:
C:\usr\sap<SID><InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\root
C:\usr\sap<SID><InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work
C:\usr\sap<SID><InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work\sync
- Источник новости
- www.securitylab.ru
Последнее редактирование модератором:
