Sigurnosni stručnjaci upozoravaju na ozbiljnu ranjivost u SAP NetWeaver sustavu, poznatu kao CVE-2025-31324, koja potencijalno ugrožava više od 10.000 aplikacija dostupnih putem interneta. Ova ranjivost, s maksimalnim CVSS ocjenom ozbiljnosti (10/10), omogućuje neovlaštenim napadačima učitavanje zlonamjernih datoteka koje mogu značajno kompromitirati sigurnost sustava.
Detalji ranjivosti
Problem leži u komponenti Visual Composer Metadata Uploader unutar SAP NetWeaver-a. Ranjivost proizlazi iz nedostatka pravilne autorizacije, što napadačima omogućuje učitavanje zlonamjernih izvršnih datoteka. Ovi fajlovi omogućuju napadačima preuzimanje potpune kontrole nad ranjivim sustavom, uključujući izvršenje zlonamjernog koda i širenje unutar mreže.
Tvrtka ReliaQuest identificirala je ovu ranjivost tijekom istrage napada na nekoliko svojih klijenata, uključujući sustave koji su imali najnovije SAP sigurnosne zakrpe. Napadači su zloupotrijebili Metadata Uploader komponentu za učitavanje JSP webshell fajlova putem prilagođenih POST zahtjeva, omogućujući im kasnije izvršavanje datoteka jednostavnim GET zahtjevima i preuzimanje potpune kontrole nad serverom.
Posljedice napada
JSP webshell pruža napadačima mogućnosti poput ubrizgavanja zlonamjernog koda, širenja unutar mreže, eskalacije privilegija i obilaženja sigurnosnih mehanizama. Identificirani su alati poput Brute Ratel frameworka, koji omogućuje manipulaciju Windows procesima i ubrizgavanje dodatnih zlonamjernih elemenata, te tehnika Heaven’s Gate za prijelaz između 32-bitnog i 64-bitnog načina rada tijekom izvršenja koda.
Prema ReliaQuestu, napadači su u nekim slučajevima bili “initial access brokeri”, koji su dobiveni pristup prodavali drugim hakerskim grupama. Tvrtka također smatra da je ranjivost povezana s novim, dosad neprijavljenim problemom daljinskog uključivanja datoteka (RFI) u SAP aplikacijama.
Mjere zaštite
SAP je ažurirao svoje sigurnosno upozorenje za travanj 2025., dodajući smjernice za sanaciju ove ranjivosti. Organizacije koje koriste SAP NetWeaver, bilo na oblaku ili na lokalnim serverima, trebaju hitno implementirati zakrpe kako bi smanjile rizik.
Prema stručnjacima, ranjivost predstavlja značajan sigurnosni rizik, uključujući mogućnosti špijunaže, sabotaže i prijevara, dok utječe na ključne poslovne procese. Tvrtka Onapsis procjenjuje da su ugroženi sustavi širom svijeta, uključujući Cloud/RISE SAP okruženja i lokalne implementacije.
Osim primjene tehničkih mjera, preporuča se edukacija zaposlenika o prepoznavanju potencijalnih prijetnji, kao i kontinuirano praćenje sigurnosnog okruženja radi pravovremenog otkrivanja i sprječavanja napada.