ReliaQuest обнаружила новую критическую уязвимость в SAP NetWeaver Visual Composer, которая позволяла неаутентифицированное и несанкционированное выполнение кода в определенном сервлете Java. SAP выпустила заплатку безопасности 24 апреля 2025 года и рекомендовала клиентам применить исправление немедленно.
Описание
Компания продолжает расследование уязвимости, отмечая, что веб-оболочки могут содержать файлы с произвольными именами, такими как rrx.jsp и dyceorp.jsp. ReliaQuest предприняла меры предосторожности, включая создание механизма обнаружения подозрительных JSP-файлов и модификацию правил для дополнительного мониторинга. Компания также проводит проактивные поиски угроз и отслеживает тактики и методы злоумышленников для повышения уровня защиты клиентов.
Следует отметить, что компания ReliaQuest обнаружила и сообщила SAP о критической уязвимости, что позволило SAP выпустить исправление. SAP также рекомендует клиентам обновиться до последней версии SAP NetWeaver для устранения уязвимости. Решения SAP представляют высокий интерес для злоумышленников из-за их использования государственными учреждениями, что может облегчить доступ к ценной информации.
Индикаторы компрометации
Domains
- dns.telemetrymasterhostname.com
SHA256
- 0a866f60537e9decc2d32cbdc7e4dcef9c5929b84f1b26b776d9c2a307c7e36e
- 1579b6776eeaf79cbd0852fa9cdb3656e16688ca65e7806c9bc018eefebe0ae8
- 1f72bd2643995fab4ecf7150b6367fa1b3fab17afd2abed30a98f075e4913087
- 31d7d0dab2fb367c24be0b1a08a7b751d2967f3999307f217d9230ea485a3743
- 4d4f6ea7ebdc0fbf237a7e385885d51434fd2e115d6ea62baa218073729f5249
- 565d7ed059e2d60fa69cc51a6548aa9f8192a71f4cd79112823f3f628cfede85
- 794cb0a92f51e1387a6b316b8b5ff83d33a51ecf9bf7cc8e88a619ecb64f1dcf
- a5818e3a58198da5b8ea4cc001a7cecf06aa8a7684489743976996b8cddbd200
- ec30c87f65f16e3b591e7ce74229a700c59766e242be3df46979fea54c330873
