Критическая уязвимость в SAP NetWeaver Visual Composer, получившая идентификатор CVE-2025-31324, позволяет злоумышленникам выполнять произвольный код без аутентификации. Несмотря на рекомендации по смягчению последствий, многие системы остаются уязвимыми. Компания Darktrace зафиксировала попытки эксплуатации этой уязвимости за шесть дней до ее публичного объявления, что подчеркивает важность превентивного мониторинга угроз без опоры на известные сигнатуры.
Описание
SAP NetWeaver и Visual Composer широко используются корпорациями и госструктурами для управления критически важными бизнес-процессами, что делает их привлекательной целью для киберпреступников. В марте 2025 года CISA подтвердила эксплуатацию уязвимости CVE-2017-12637 в SAP NetWeaver, позволяющей злоумышленникам получать доступ к конфиденциальным файлам. В апреле–мае того же года стало известно об активном использовании уязвимости CVE-2025-31324 (CVSS 10.0) для загрузки веб-шеллов и полного захвата систем. Обе уязвимости были внесены в каталог Known Exploited Vulnerabilities (KEV) как подтвержденные угрозы.
Уязвимость CVE-2025-31324 затрагивает SAP NetWeaver Visual Composer Framework 7.1x и выше. Проблема кроется в некорректной проверке аутентификации и авторизации в Java-сервлете, что позволяет загружать произвольные файлы через эндпоинт "/developmentserver/metadatauploader". Эксплуатация возможна через HTTP-запросы (GET, POST, HEAD), а злоумышленники чаще всего загружают вредоносные JSP-, Java- или Class-файлы, превращая уязвимый сервер в плацдарм для атак.
Активность, связанную с этой уязвимостью, Darktrace зафиксировала еще 18 апреля 2025 года на устройстве логистической компании в EMEA. Система запрашивала подозрительный домен, связанный с Out-of-Band Application Security Testing (OAST), а затем загружала вредоносные исполняемые файлы, включая KrustyLoader - троян, используемый китайской APT-группой UNC5221. Этот же зловред ранее применялся в атаках на уязвимости в устройствах Ivanti.
Другой случай был обнаружен уже после публикации CVE-2025-31324: SAP-устройство производственной компании в EMEA взаимодействовало с OAST-доменами, а затем пыталось загрузить инструмент для эскалации привилегий (JuicyPotato/SweetPotato) с подозрительного IP-адреса.
Эти случаи демонстрируют, что даже до выхода официальных исправлений системы могут подвергаться атакам.
Индикаторы компрометации
URLs
- 23.95.123.5:666/xmrigCCall/s.exe
- 29274ca90e6dcf5ae4762739fcbadf01-
- abode-dashboard-media.s3.ap-south-1.amazonaws.com/nVW2lsYsYnv58
- applr-malbbal.s3.ap-northeast-2.amazonaws.com/7p3ow2ZH
- applr-malbbal.s3.ap-northeast-2.amazonaws.com/UUTICMm
- beansdeals-static.s3.amazonaws.com/UsjKy
- brandnav-cms-storage.s3.amazonaws.com/3S1kc
- bringthenoiseappnew.s3.amazonaws.com/pp79zE
MD5
- 29274ca90e6dcf5ae4762739fcbadf01
- 6900e844f887321f22dd606a6f2925ef
- 72afde58a1bed7697c0aa7fa8b4e3b03
- 83a797e5b47ce6e89440c47f6e33fa08
- 8c8681e805e0ae7a7d1a609efc000c84
- f662135bdd8bf792a941ea222e8a1330
SHA1
- 17d65a9d8d40375b5b939b60f21eb06eb17054fc
- a29e8f030db8990c432020441c91e4b74d4a4e16
- da23dab4851df3ef7f6e5952a2fc9a6a57ab6983
- e007edd4688c5f94a714fee036590a11684d6a3a
- fa645f33c0e3a98436a0161b19342f78683dbd9d
- fe931adc0531fd1cb600af0c01f307da3314c5c9
SHA256
- 1544d9392eedf7ae4205dd45ad54ec67e5ce831d2c61875806ce4c86412a4344
- 1d26fff4232bc64f9ab3c2b09281d932dd6afb84a24f32d772d3f7bc23d99c60
- 3268f269371a81dbdce8c4eedffd8817c1ec2eadec9ba4ab043cb779c2f8a5d2
- b8e56de3792dbd0f4239b54cfaad7ece3bd42affa4fbbdd7668492de548b5df8
