Cercetătorii de securitate de la Forescout Vedere Labs au legat atacurile în curs împotriva unei vulnerabilități de severitate maximă care afectează instanțele SAP NetWeaver de un actor de amenințare chinez.
SAP a lansat un patch de urgență în afara programului obișnuit pe 24 aprilie pentru a remedia această defecțiune de securitate a încărcării de fișiere neautentificate (urmărită ca CVE-2025-31324) în SAP NetWeaver Visual Composer, zile după ce compania de securitate cibernetică ReliaQuest a detectat pentru prima dată vulnerabilitatea vizată în atacuri.
Exploatarea reușită permite atacatorilor neautentificați să încarce fișiere maligne fără a se autentifica, permițându-le să obțină execuție de cod la distanță și posibil ducând la compromiterea completă a sistemului.
ReliaQuest a raportat că sistemele mai multor clienți au fost compromise prin încărcări de fișiere neautorizate pe SAP NetWeaver, cu actorii de amenințare care încarcă shell-uri web JSP în directoare publice, precum și instrumentul de echipă roșie Brute Ratel în faza de post-exploatare a atacurilor lor. Serverele SAP NetWeaver compromise au fost complet patch-uite, indicând că atacatorii au folosit o exploatare zero-day.
Această activitate de exploatare a fost confirmată și de alte firme de securitate cibernetică, inclusiv watchTowr și Onapsis, care au confirmat și ei că atacatorii încarcă backdoor-uri shell web pe instanțele nepatch-uite expuse online.
Mandiant a observat, de asemenea, atacuri zero-day CVE-2025-31324 datând de cel puțin din mijlocul lunii martie 2025, în timp ce Onapsis și-a actualizat raportul inițial pentru a spune că honeypot-ul său a capturat pentru prima dată activitatea de recunoaștere și testarea de încărcare începând din 20 ianuarie, cu încercări de exploatare începând din 10 februarie.
Fundația Shadowserver urmărește acum 204 servere SAP Netweaver expuse online și vulnerabile la atacuri CVE-2025-31324.
Patrice Auffret, CTO al Onyphe, a declarat și el pentru BleepingComputer la sfârșitul lunii aprilie că „Aproximativ 20 de companii Fortune 500 / Global 500 sunt vulnerabile, iar multe dintre ele sunt compromise,” adăugând că, la acea vreme, erau 1.284 de instanțe vulnerabile expuse online, din care 474 erau deja compromise.
Atacurile mai recente din 29 aprilie au fost legate de un actor de amenințare chinez urmărit de Forescout Vedere Labs sub numele de Chaya_004.
Aceste atacuri au fost lansate de la adrese IP care folosesc certificate autosemnate anormale impersonând Cloudflare, multe dintre ele aparținând furnizorilor de cloud chinezi (de ex., Alibaba, Shenzhen Tencent, Huawei Cloud Service și China Unicom).
Atacatorul a folosit, de asemenea, instrumente în limba chineză în timpul încălcărilor, inclusiv un shell web de tip reverse (SuperShell) dezvoltat de un dezvoltator vorbitor de chineză.
„În cadrul investigației noastre asupra exploatării active a acestei vulnerabilități, am descoperit o infrastructură malițioasă probabil aparținând unui actor de amenințare chinez, pe care o urmărim în prezent sub numele de Chaya_004 – urmând convenția noastră pentru actorii de amenințare neidentificați,” a declarat Forescout.
„Infrastructura include o rețea de servere care găzduiesc backdoor-uri Supershell, adesea implementate pe furnizori de cloud chinezi, și diverse instrumente de testare a penetrării, multe de origine chineză.”
Administrația SAP este sfătuită să-și patchuiască imediat instanțele NetWeaver, să restricționeze accesul la serviciile de încărcare a metadatelor, să monitorizeze activitatea suspectă pe serverele lor și să ia în considerare dezactivarea serviciului Visual Composer, dacă este posibil.
CISA a adăugat, de asemenea, defecțiunea de securitate CVE-2025-31324 la Catalogul de Vulnerabilități Exploatate Cunoscute acum o săptămână, ordonând agențiilor federale americane să-și securizeze sistemele împotriva acestor atacuri până la 20 mai, conform Directivei Operaționale Obligatorii (BOD) 22-01.
„Aceste tipuri de vulnerabilități sunt vectori de atac frecvente pentru actorii cibernetici malitioși și prezintă riscuri semnificative pentru întreprinderea federală,” a avertizat CISA.
Leave a Reply