Stotine SAP NetWeaver instanci kompromitovane su kroz eksploataciju nedavno otkrivene zero-day ranjivosti koja može dovesti do izvršavanja koda na daljinu (RCE).
Problem, koji se vodi kao CVE-2025-31324 (CVSS ocjena 10/10), označen je kao iskorišćen 22. aprila, dva dana prije nego što je SAP izdao zakrpe, upozoravajući da omogućava napadačima da postave maliciozne izvršne fajlove na ranjive servere.
Firma specijalizovana za bezbjednost poslovnih aplikacija, Onapsis, istražuje ove napade zajedno sa Mandiantom, te je ove sedmice saopštila da napadači ponovo posjećuju već kompromitovane NetWeaver servere kako bi iskoristili prethodno postavljene webshell-ove za dalja djelovanja.
U četvrtak je bezbjednosna firma za SecurityWeek izjavila da trenutno prati stotine SAP instanci širom svijeta koje su aktivno kompromitovane ovom ranjivošću.
„Onapsis i Mandiant bilježe eksploataciju u raznim industrijama i geografskim područjima, uključujući potvrđene napade na energetski i komunalni sektor, proizvodnju, medije i zabavu, naftu i gas, farmaceutsku industriju, maloprodaju i državne organizacije,“ saopštio je Onapsis.
Analiza stvarnog eksploata, navodi bezbjednosna firma, otkrila je da su napadači ciljali ovu grešku kako bi ostvarili RCE još od 20. januara 2025, kada su prvi put počeli da ispituju ranjive sisteme.
Javno poznati webshell-ovi, upozorava Onapsis u ažuriranom tehničkom blog postu, vjerovatno su postavljeni na ranjive servere nakon što su druge RCE komande već bile izvršene tokom faze izviđanja u početnim napadima. Greška nije ograničena samo na proizvoljno postavljanje fajlova, kako se isprva mislilo.
„Uočen eksploat pokazuje visok nivo poznavanja SAP sistema od strane grupe koja stoji iza napada,“ navodi Onapsis.
Bezbjednosna firma apeluje na branioce da ažuriraju svoje bezbjednosne protokole, upozoravajući da je kompromitovanje sistema i održavanje prisustva moguće i bez webshell-ova. Napadači su slali POST, HEAD ili GET zahtjeve ranjivim komponentama kako bi izvršili proizvoljne komande na daljinu.
Mandiant i Onapsis su ažurirali svoj open source skener kako bi odražavao najnovija saznanja i pomogao organizacijama u boljoj detekciji indikatora kompromitovanja (IoC).
„Primjena zakrpe za CVE-2025-31324, primjena mjera ublažavanja ako zakrpa nije moguća, kao i procjena eventualne kompromitovanosti, moraju biti prioriteti,“ poručuju iz Onapsisa.
Dok je drugi talas napada na već kompromitovane servere uglavnom bio oportunističke prirode, Forescout je u četvrtak povezao noviju kampanju napada, koja je počela 29. aprila i cilja CVE-2025-31324, sa kineskom hakerskom grupom označenom kao Chaya_004.
Izvor: SecurityWeek
