Новости SAP ловит второй 0Day подряд — инфраструктура Fortune 500 под угрозой полного взлома

[NewsMaker]

SAP недооценила последствия Visual Composer.

---

---

Атаки на серверы SAP NetWeaver, начавшиеся с эксплойта одной уязвимости нулевого дня, оказались гораздо серьёзнее, чем предполагалось изначально. Исследователи установили, что злоумышленники использовали сразу две критические уязвимости, позволявшие обойти аутентификацию и выполнить произвольный код на серверах без каких-либо прав. Обе бреши уже получили идентификаторы: Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся . Первая была устранена в апреле, вторая — 12 мая.

Проблема CVE-2025-31324 заключается в возможности загрузки неавторизованных файлов в SAP Visual Composer, что открывает путь для внедрения веб-оболочек. Вторая Для просмотра ссылки Войди или Зарегистрируйся , CVE-2025-42999, связана с небезопасной десериализацией и позволяет выполнить команды с правами пользователя, обладающего ролью VisualComposerUser. Хотя SAP официально не признала факт эксплуатации второй уязвимости, специалисты Onapsis зафиксировали атаки, в которых обе уязвимости применялись совместно, начиная с января 2025 года.

Эксплуатация этих уязвимостей не была теоретической. По Для просмотра ссылки Войди или Зарегистрируйся ReliaQuest, скомпрометированные серверы использовались для загрузки веб-шеллов на базе JSP, а также размещения вредоносного инструмента Brute Ratel, предназначенного для проведения атак типа red teaming. Команды watchTowr и Onapsis подтвердили аналогичную активность и зафиксировали случаи установки бэкдоров на публично доступных, но незащищённых экземплярах NetWeaver.

Ситуация обострилась после публикации данных от Forescout и Vedere Labs, которые связали часть атак с китайской кибергруппировкой, обозначенной как Chaya_004. Согласно этим данным, группа нацелилась на крупные международные компании, используя обнаруженные уязвимости для незаметного доступа к их ИТ-инфраструктуре.

На конец апреля количество уязвимых серверов оценивалось в 1 284 экземпляра, из которых 474 уже находились под контролем злоумышленников. Об этом сообщил технический директор Onyphe, подчеркнув, что среди пострадавших числятся не менее 20 компаний из списков Fortune 500 и Global 500. По Для просмотра ссылки Войди или Зарегистрируйся Shadowserver Foundation, к середине мая в интернете было доступно уже свыше 2 040 уязвимых серверов SAP NetWeaver.

---

---

Количество уязвимых экземпляров (Shadowserver)

Специалисты Onapsis Для просмотра ссылки Войди или Зарегистрируйся , что комбинация двух багов позволяет полностью обойти аутентификацию и выполнять команды удалённо, даже в случае частичного обновления. Такая цепочка особенно опасна для систем, где роль VisualComposerUser присваивается по умолчанию или не контролируется должным образом.

SAP выпустила обновления и просит клиентов незамедлительно установить Security Notes под номерами Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся . В качестве дополнительных мер безопасности рекомендуется временно отключить компонент Visual Composer, ограничить доступ к службам загрузки метаданных, а также внимательно отслеживать подозрительные действия на серверах.

Агентство CISA Для просмотра ссылки Войди или Зарегистрируйся уязвимость CVE-2025-31324 в свой каталог KEV, потребовав от всех федеральных структур устранить её до 20 мая в рамках директивы Для просмотра ссылки Войди или Зарегистрируйся . В предупреждении CISA подчёркивается, что подобные уязвимости часто становятся точкой входа для атакующих и представляют серьёзную угрозу для всей инфраструктуры.