Peste 1.200 de instanțe SAP NetWeaver expuse pe internet sunt vulnerabile la o vulnerabilitate de upload de fișiere neautentificate, cu grad maxim de severitate, care permite atacatorilor să preia serverele.
SAP NetWeaver este un server de aplicații și o platformă de dezvoltare care rulează și conectează aplicații SAP și non-SAP pe diferite tehnologii.
Săptămâna trecută, SAP a dezvăluit o vulnerabilitate de upload de fișiere neautentificate, denumită CVE-2025-31324, în SAP NetWeaver Visual Composer, mai exact în componenta Metadata Uploader.
Defectul permite atacatorilor remote să încarce fișiere executabile arbitrare pe instanțele expuse fără autentificare, obținând execuție de cod și compromitere completă a sistemului.
Mai multe firme de securitate cibernetică, inclusiv ReliaQuest, watchTowr și Onapsis, au confirmat că vulnerabilitatea este activ exploatată în atacuri, cu actorii de amenințare care o utilizează pentru a instala shell-uri web pe serverele vulnerabile.
Un purtător de cuvânt SAP a declarat pentru BleepingComputer că sunt conștienți de aceste încercări și au lansat o soluție temporară pe 8 aprilie 2024, urmată de o actualizare de securitate care a abordat CVE-2025-31324 pe 25 aprilie.
SAP a declarat pentru BleepingComputer că nu au cunoștință de cazuri în care aceste atacuri au afectat datele sau sistemele clienților.
Cercetătorii au confirmat acum că multe servere vulnerabile SAP Netweaver sunt expuse pe internet, făcându-le ținte principale pentru atacuri.
Fundația Shadowserver a găsit 427 de servere expuse, avertizând cu privire la suprafața mare de atac expusă și la repercusiunile potențial severe ale exploatării.
Cele mai multe sisteme vulnerabile (149) sunt în Statele Unite, urmate de India (50), Australia (37), China (31), Germania (30), Țările de Jos (13), Brazilia (10) și Franța (10).
Cu toate acestea, motorul de căutare în domeniul apărării cibernetice Onyphe prezintă o imagine mai sumbră, spunând pentru BleepingComputer că există 1.284 de servere vulnerabile expuse online, din care 474 au fost deja compromise cu shell-uri web.
„Aproximativ 20 de companii din Fortune 500/Global 500 sunt vulnerabile, iar multe dintre ele sunt compromise,” a declarat pentru BleepingComputer CTO-ul Onyphe, Patrice Auffret.
Cercetătorii au raportat că actorii de amenințare folosesc shell-uri web cu nume precum „cache.jsp” și „helper.jsp.” Cu toate acestea, Nextron Research spune că aceștia folosesc și nume aleatoare, făcându-le mai greu de găsit instanțele vulnerabile Netweaver.
Deși numărul de servere nu este masiv, riscul este încă semnificativ, dat fiind că marile întreprinderi și corporații multinaționale folosesc în mod obișnuit SAP NetWeaver.
Pentru a aborda riscul, se recomandă aplicarea celei mai recente actualizări de securitate urmând instrucțiunile furnizorului în acest buletin.
Dacă nu puteți aplica actualizarea, se recomandă următoarele măsuri de atenuare:
RedRays a lansat de asemenea un instrument de scanare pentru CVE-2025-31324 care poate ajuta la identificarea riscurilor în medii mari.
BleepingComputer a contactat SAP cu întrebări suplimentare despre exploatarea activă și va actualiza povestea cu orice răspuns.
SAP rezolvă presupusa vulnerabilitate NetWeaver zero-day exploatată în atacuri
Defectul de RCE al Active! Mail exploatat în atacuri împotriva organizațiilor japoneze
Dispozitivele SonicWall SMA VPN vizate în atacuri începând cu ianuarie
CISA etichetează defectul SonicWall VPN ca fiind exploatat activ în atacuri
Ivanti rezolvă zero-day-ul Connect Secure exploatat începând cu mijlocul lui martie
Leave a Reply