Novi javno objavljeni eksploat kombinuje dvije kritične ranjivosti u SAP NetWeaver-u, izlažući nezakrpljene instance napadima za izvršavanje koda.
Desetine SAP NetWeaver instanci podložne su kompromitovanju nakon što je hakerska grupa objavila novi funkcionalni eksploat koji spaja dvije ranjivosti kritične težine i omogućava izvršavanje koda.
Propusti, praćeni kao CVE-2025-31324 (CVSS ocjena 10) i CVE-2025-42999 (CVSS ocjena 9.1), opisani su kao problem nedostajuće autorizacione provjere i greška nesigurne deserijalizacije. Ispravljeni su bezbjednosnim bilješkama objavljenim u aprilu i maju.
Oba propusta ranije su bila iskorišćena u napadima prije nego što su zakrpe objavljene, uključujući postavljanje web shell-ova i daljinsko izvršavanje komandi. Ransomware grupe poput BianLian i RansomEXX, kao i kineske APT grupe, viđene su kako ih ciljaju.
U petak je istraživački projekat Vx-Underground upozorio da je neko, navodno povezan sa kriminalnom grupom Scattered Spider, objavio na Telegramu novi – navodno zero-day – eksploat koji cilja SAP NetWeaver instance.
Nakon analize, kompanija za bezbjednost poslovnih aplikacija Onapsis zaključila je da je eksploat zapravo napravljen da spoji poznate ranjivosti CVE-2025-31324 i CVE-2025-42999 kako bi omogućio izvršavanje proizvoljnih sistemskih komandi sa administratorskim privilegijama.
„U suštini, napadači prvo koriste ranjivost nedostajuće autentikacije (CVE-2025-31324) kako bi pristupili kritičnoj funkcionalnosti bez prijave i ubacili svoj maliciozni kod na server. Zatim iskorišćavaju grešku deserijalizacije (CVE-2025-42999) da deserijalizuju taj kod i izvrše ga sa privilegijama SAP sistema“, pojašnjava Onapsis.
Kompanija upozorava da bi deserijalizacioni mehanizam korišćen u ovom eksploatu mogao biti iskorišćen i u drugim kontekstima, poput ranjivosti koje je SAP zakrpio u julu.
„Ovo potencijalno otvara nove napadne vektore u drugim dijelovima SAP aplikacija. Riječ je o moćnom alatu u arsenalu napadača, a njegovo javno objavljivanje predstavlja značajan događaj. Organizacije bi trebalo da odmah provjere da li su ove ranjivosti zakrpile u svojim okruženjima“, navodi Onapsis.
Iako eksploat ne cilja nove SAP ranjivosti, NetWeaver instance koje nisu zakrpljene protiv CVE-2025-31324 i CVE-2025-42999 izložene su novom talasu napada.
Prema podacima The Shadowserver Foundation-a, više od 50 NetWeaver servera bilo je i dalje ranjivo na CVE-2025-31324 zaključno sa 18. avgustom. Taj broj je znatno manji u odnosu na 400 ranjivih instanci evidentiranih krajem aprila.
Izvor: SecurityWeek
