Админ попил кофе, вернулся, а сервер уже работает на злоумышленников: SAP-драма недели

Неизвестные злоумышленники научились внедрять вредоносные веб-оболочки в SAP NetWeaver. И, как выяснилось, они используют JSP-файлы для несанкционированной загрузки данных и исполнения произвольного кода в системе.

Специалисты компании ReliaQuest полагают: источником проблемы может служить либо ранее обнаруженная уязвимость CVE-2017-9844 , либо пока не зарегистрированная брешь, связанная с удаленным внедрением файлов. На возможное существование нового изъяна указывает тревожный факт — некоторые из пострадавших систем уже содержали все последние обновления безопасности.

Исследователи локализовали проблему в конечной точке "/developmentserver/metadatauploader" среды NetWeaver. Через этот компонент киберпреступники размещают вредоносные JSP-оболочки в директории "servlet_jsp/irj/root/". Подобный механизм позволяет надолго закрепиться в инфраструктуре и доставлять дополнительные зловредные программы.

Внедренные JSP наделены широким функционалом: они способны устанавливать полный контроль над зараженными машинами, запускать команды удаленно и извлекать конфиденциальные сведения.

В ряде инцидентов аналитики зафиксировали следы использования фреймворка Brute Ratel C4, предназначенного для пост-эксплуатации. Нарушители также применяли технику Heaven's Gate, позволяющую обходить защитные механизмы конечных точек.

SAP недавно выпустила патч для устранения критической уязвимости CVE-2025-31324 , получившей максимальную оценку опасности — 10 баллов из 10 по шкале CVSS. Найденная брешь позволяет нарушителям загружать любые материалы в систему без ограничений.

Как поясняют разработчики, компонент SAP NetWeaver Visual Composer Metadata Uploader оказался лишен необходимых механизмов авторизации. Из-за этого неаутентифицированный агент может внедрять потенциально опасные исполняемые файлы, способные нанести серьезный ущерб хосту.

Существуют весомые основания полагать, что CVE-2025-31324 — та самая неизвестная брешь, о которой шла речь выше: обе проблемы затрагивают модуль загрузки метаданных и демонстрируют идентичные признаки.

Новая угроза появилась спустя месяц после того, как Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило об активной эксплуатации еще одного опасного бага в NetWeaver — CVE-2017-12637 . Он открывает злоумышленникам доступ к критически важным конфигурационным файлам SAP.

Совсем недавно в разговоре с журналистами эксперты ReliaQuest подтвердили: обнаруженная ими вредоносная активность действительно связана с новой уязвимостью CVE-2025-31324. Организация выявила проблему во время расследования 22 апреля 2025 года. Изначально аналитики предполагали наличие бреши, связанной с удаленным внедрением файлов, однако позже SAP классифицировала ее как уязвимость неограниченной загрузки.

Компания Onapsis, специализирующаяся на безопасности SAP, опубликовала детальный отчет о механизме эксплуатации. Злоумышленники могут задействовать протоколы HTTP/HTTPS для отправки специально сформированных POST-запросов к конечной точке "/developmentserver/metadatauploader".

Подобные оболочки предоставляют преступникам возможность выполнять любые команды в контексте системы с привилегиями пользователя операционной системы <sid>adm. Такой уровень доступа открывает путь ко всем ресурсам NetWeaver. На текущий момент ни одна известная хакерская группировка не взяла на себя ответственность за серию атак.

Команда Onapsis акцентирует внимание на еще одном моменте: привилегии <sid>adm также позволяют злоумышленникам управлять базовой операционкой SAP, используя учетные данные и права процессов, работающих на сервере приложений.

Системным администраторам рекомендуют проверить следующие директории на наличие индикаторов компрометации:

C:\usr\sap<SID><InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\root

C:\usr\sap<SID><InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work

C:\usr\sap<SID><InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work\sync