SAP заткнул дыру в 10 баллов, но подробности — только за деньги
Пока вы строите бизнес на SAP, кто-то уже строит на нём свою атаку.
SAP выпустила внеплановый патч для критической уязвимости в платформе NetWeaver, получившей максимальную оценку 10 из 10. Эксперты подозревают, что баг уже использовался хакерами как нулевой день, но с уверенностью утверждать это нельзя: немецкая компания ограничила доступ к подробностям уязвимости, сделав их доступными только за платной подпиской для клиентов.
Тем не менее известен идентификатор уязвимости — CVE-2025-31324 . Согласно краткому описанию в Национальной базе данных уязвимостей США (NVD), проблема связана с компонентом загрузки метаданных в инструменте создания приложений без кода Visual Composer. В базе NVD говорится, что загрузчик метаданных в SAP NetWeaver Visual Composer не защищён должным образом авторизацией, что позволяет неаутентифицированным злоумышленникам загружать потенциально вредоносные исполняемые файлы. Это может серьёзно повлиять на конфиденциальность, целостность и доступность атакуемой системы.
По данным компании Onapsis, специализирующейся на безопасности SAP-сред, уязвимость действительно использовалась в атаках нулевого дня. Хакеры, воспользовавшись уязвимостью, могут получить полный контроль над бизнес-данными и процессами в SAP, что открывает путь для развертывания программ-вымогателей и бокового перемещения по сети. Onapsis настоятельно рекомендует клиентам SAP немедленно установить экстренный патч, выпущенный сегодня, и проверить уязвимые системы на предмет возможного взлома.
Некоторые специалисты по информационной безопасности обратили внимание на сходство между описанием уязвимости и публикацией компании ReliaQuest, вышедшей ранее на этой неделе. В ней говорилось о расследовании "нескольких инцидентов" с заражением SAP-сред вебшеллами на базе JSP. При этом затронутые системы были полностью обновлены и содержали все установленные патчи.
ReliaQuest указывала, что загруженные вебшеллы позволяли злоумышленникам передавать файлы и выполнять код на серверах. В момент публикации компания предполагала, что проблема могла быть связана либо со старой уязвимостью в NetWeaver (CVE-2017-9844, оценка 9.8), либо с новой, тогда ещё неизвестной ошибкой. В ходе реагирования на инциденты выяснилось, что хакеры использовали популярный среди тестировщиков проникновения инструмент Brute Ratel, а также технику Heaven's Gate для обхода систем обнаружения и выполнения кода.
ReliaQuest также предупредила, что успешные атаки через данную уязвимость могут привести к компрометации особо ценных целей. Поскольку SAP широко используется крупными компаниями и государственными структурами по всему миру, включая органы власти Великобритании, любая уязвимость нулевого дня в таких системах представляет собой лакомую цель для киберпреступников, особенно если она позволяет запускать программы-вымогатели.