Опасный эксплойт, нацеленный на критические уязвимости в программном обеспечении SAP, был публично обнародован известной хакерской группой ShinyHunters, что значительно повысило уровень угроз для корпоративных систем, использующих продукты немецкого разработчика. Инцидент произошел 15 августа 2025 года, когда эксплойт появился в Telegram-канале под названием "Scattered LAPSUS$ Hunters - ShinyHunters", а затем был опубликован ресурсом VX Underground.
Подробности эксплойта
Эксплойт использует цепочку из нескольких zero-day уязвимостей, ключевой из которых является CVE-2025-31324 - критическая уязвимость в компоненте SAP NetWeaver Visual Composer, имеющая максимальный балл по шкале CVSS - 10.0. Эта уязвимость позволяет неаутентифицированным злоумышленникам выполнять произвольные команды на целевых системах SAP, что потенциально ведет к полному компрометированию инфраструктуры. Уязвимость была устранена еще в апреле 2025 года, и для её закрытия выпущено соответствующее обновление безопасности SAP Note 3594142.
Однако уникальность данной атаки заключается в том, что злоумышленники комбинируют её с другой уязвимостью - CVE-2025-42999, которая представляет собой проблему десериализации. Это позволяет проводить так называемые «живые атаки» (live off the land), не оставляя артефактов на атакуемых системах и используя только встроенные механизмы платформы. Такой подход значительно усложняет обнаружение вторжения традиционными средствами защиты.
Эксперты обратили внимание на высокий уровень технической подготовки авторов эксплойта. Код использует специфические классы SAP, такие как com.sap.sdo.api.* и com.sap.sdo.impl.*, для построения полезной нагрузки, а также способен динамически адаптироваться под различные версии SAP NetWeaver. Это говорит о глубоком понимании архитектуры SAP и возможностей её эксплуатации.
Исследователи из компании Onapsis, которые ранее обнаружили и сообщили о нескольких из этих уязвимостей, подчеркивают, что публикация рабочего кода эксплойта резко повышает риски массовых атак. Хотя сами уязвимости не являются новыми, наличие готового инструмента для их exploitation упрощает работу киберпреступников, в том числе менее квалифицированных групп.
Особую озабоченность вызывает компонент десериализации в эксплойте, который потенциально может быть использован повторно против других уязвимостей SAP, обнаруженных в июле 2025 года. Это создает дополнительные риски даже для тех организаций, которые уже установили актуальные патчи.
Участие группы ShinyHunters, известной своими масштабными утечками данных и атаками на крупные компании, добавляет этому инциденту дополнительный вес. Эксперты прогнозируют рост числа попыток эксплуатации уязвимости в ближайшие недели, особенно против организаций, затянувших с обновлениями.
Публикация данного эксплойта представляет собой серьезную эскалацию угроз для сред SAP по всему миру. В условиях роста сложности и частоты кибератак корпорациям необходимо уделять повышенное внимание не только своевременному патчингу, но и комплексному мониторингу своей ИТ-инфраструктуры.
Ссылки
- https://onapsis.com/blog/new-exploit-for-cve-2025-31324/
- https://nvd.nist.gov/vuln/detail/CVE-2025-31324
- https://www.theregister.com/2025/04/25/sap_netweaver_patch/
- https://www.cve.org/CVERecord?id=CVE-2025-31324
- https://www.cve.org/CVERecord?id=CVE-2025-42999
- https://onapsis.com/blog/active-exploitation-of-sap-vulnerability-cve-2025-31324/
