Админ попил кофе, вернулся, а сервер уже работает на злоумышленников: SAP-драма недели
NewsMakerСофт для комфортного бизнеса переживает не лучшие времена. Где причина?
Неизвестные злоумышленники научились внедрять вредоносные веб-оболочки в SAP NetWeaver. Атакующие используют JSP-файлы для несанкционированной загрузки данных и исполнения произвольного кода в системе.
Специалисты компании ReliaQuest полагают: источником проблемы может служить либо ранее обнаруженная уязвимость CVE-2017-9844, либо пока не зарегистрированная брешь, связанная с удаленным внедрением файлов. На возможное существование нового изъяна указывает тревожный факт — некоторые из пострадавших систем уже содержали все последние обновления безопасности.
Исследователи локализовали проблему в конечной точке "/developmentserver/metadatauploader" среды NetWeaver. Через этот компонент киберпреступники размещают вредоносные JSP-оболочки в директории "servlet_jsp/irj/root/". Подобный механизм позволяет надолго закрепиться в инфраструктуре и доставлять дополнительные вредоносные программы.
Внедренные JSP-оболочки наделены широким функционалом: они способны загружать неавторизованные файлы, устанавливать полный контроль над зараженными машинами, запускать команды удаленно и извлекать конфиденциальные данные из системы.
В ряде инцидентов аналитики зафиксировали следы использования фреймворка Brute Ratel C4, предназначенного для пост-эксплуатации. Нарушители также применяли технику Heaven's Gate, позволяющую обходить защитные механизмы конечных точек.
В одном из эпизодов злоумышленникам потребовалось несколько дней, чтобы перейти от первичного проникновения к следующим этапам атаки. Такая неспешность наводит на мысль: за вторжением может стоять брокер первичного доступа, который добывает и продает доступ к скомпрометированным системам другим группировкам на теневых форумах.
Параллельно с этими событиями SAP выпустила патч для устранения критической уязвимости CVE-2025-31324, получившей максимальную оценку опасности — 10 баллов из 10 по шкале CVSS. Найденная брешь позволяет нарушителям загружать любые файлы в систему без ограничений.
Как поясняют разработчики, компонент SAP NetWeaver Visual Composer Metadata Uploader оказался лишен необходимых механизмов авторизации. Из-за этого неаутентифицированный агент может внедрять потенциально опасные исполняемые файлы, способные нанести серьезный ущерб хост-системе.
Существуют весомые основания полагать, что CVE-2025-31324 — та самая неизвестная уязвимость, о которой шла речь выше: обе бреши затрагивают модуль загрузки метаданных и демонстрируют идентичные признаки.
Новая угроза появилась спустя месяц после того, как Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило об активной эксплуатации другой опасной уязвимости в NetWeaver — CVE-2017-12637. Она открывает злоумышленникам доступ к критически важным конфигурационным файлам SAP.
В свежем комментарии для The Hacker News эксперты ReliaQuest подтвердили: обнаруженная ими вредоносная активность действительно связана с новой уязвимостью CVE-2025-31324. Организация выявила проблему во время расследования 22 апреля 2025 года. Изначально аналитики предполагали наличие бреши, связанной с удаленным внедрением файлов, однако позже SAP классифицировала ее как уязвимость неограниченной загрузки.
Компания Onapsis, специализирующаяся на безопасности SAP, опубликовала детальный отчет о механизме эксплуатации. Злоумышленники могут задействовать протоколы HTTP/HTTPS для отправки специально сформированных POST-запросов к конечной точке "/developmentserver/metadatauploader". Наибольшую опасность представляет тот факт, что для этого не требуется никакой аутентификации.
Технический директор Onapsis Хуан Пабло Перес-Эчегойен пояснил: после успешной эксплуатации уязвимости нарушители получают возможность загружать произвольные файлы в систему. В реальных атаках уже зафиксированы многочисленные случаи внедрения веб-оболочек в уязвимые инфраструктуры.
Подобные оболочки предоставляют преступникам возможность выполнять любые команды в контексте системы с привилегиями пользователя операционной системыadm. Такой уровень доступа открывает путь ко всем ресурсам SAP. На текущий момент ни одна известная хакерская группировка не взяла на себя ответственность за серию атак.
Эксперты Onapsis акцентируют внимание: привилегииadm позволяют злоумышленникам управлять базовой операционной системой SAP, используя учетные данные и права процессов, работающих на сервере приложений. В результате они получают неограниченный доступ к любым компонентам SAP, включая системную базу данных без каких-либо ограничений.
Специалисты настоятельно рекомендуют системным администраторам проверить следующие директории на наличие индикаторов компрометации:
C:\usr\sap\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\root
C:\usr\sap\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work
C:\usr\sap\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work\sync

Неизвестные злоумышленники научились внедрять вредоносные веб-оболочки в SAP NetWeaver. Атакующие используют JSP-файлы для несанкционированной загрузки данных и исполнения произвольного кода в системе.
Специалисты компании ReliaQuest полагают: источником проблемы может служить либо ранее обнаруженная уязвимость CVE-2017-9844, либо пока не зарегистрированная брешь, связанная с удаленным внедрением файлов. На возможное существование нового изъяна указывает тревожный факт — некоторые из пострадавших систем уже содержали все последние обновления безопасности.
Исследователи локализовали проблему в конечной точке "/developmentserver/metadatauploader" среды NetWeaver. Через этот компонент киберпреступники размещают вредоносные JSP-оболочки в директории "servlet_jsp/irj/root/". Подобный механизм позволяет надолго закрепиться в инфраструктуре и доставлять дополнительные вредоносные программы.
Внедренные JSP-оболочки наделены широким функционалом: они способны загружать неавторизованные файлы, устанавливать полный контроль над зараженными машинами, запускать команды удаленно и извлекать конфиденциальные данные из системы.
В ряде инцидентов аналитики зафиксировали следы использования фреймворка Brute Ratel C4, предназначенного для пост-эксплуатации. Нарушители также применяли технику Heaven's Gate, позволяющую обходить защитные механизмы конечных точек.
В одном из эпизодов злоумышленникам потребовалось несколько дней, чтобы перейти от первичного проникновения к следующим этапам атаки. Такая неспешность наводит на мысль: за вторжением может стоять брокер первичного доступа, который добывает и продает доступ к скомпрометированным системам другим группировкам на теневых форумах.
Параллельно с этими событиями SAP выпустила патч для устранения критической уязвимости CVE-2025-31324, получившей максимальную оценку опасности — 10 баллов из 10 по шкале CVSS. Найденная брешь позволяет нарушителям загружать любые файлы в систему без ограничений.
Как поясняют разработчики, компонент SAP NetWeaver Visual Composer Metadata Uploader оказался лишен необходимых механизмов авторизации. Из-за этого неаутентифицированный агент может внедрять потенциально опасные исполняемые файлы, способные нанести серьезный ущерб хост-системе.
Существуют весомые основания полагать, что CVE-2025-31324 — та самая неизвестная уязвимость, о которой шла речь выше: обе бреши затрагивают модуль загрузки метаданных и демонстрируют идентичные признаки.
Новая угроза появилась спустя месяц после того, как Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило об активной эксплуатации другой опасной уязвимости в NetWeaver — CVE-2017-12637. Она открывает злоумышленникам доступ к критически важным конфигурационным файлам SAP.
В свежем комментарии для The Hacker News эксперты ReliaQuest подтвердили: обнаруженная ими вредоносная активность действительно связана с новой уязвимостью CVE-2025-31324. Организация выявила проблему во время расследования 22 апреля 2025 года. Изначально аналитики предполагали наличие бреши, связанной с удаленным внедрением файлов, однако позже SAP классифицировала ее как уязвимость неограниченной загрузки.
Компания Onapsis, специализирующаяся на безопасности SAP, опубликовала детальный отчет о механизме эксплуатации. Злоумышленники могут задействовать протоколы HTTP/HTTPS для отправки специально сформированных POST-запросов к конечной точке "/developmentserver/metadatauploader". Наибольшую опасность представляет тот факт, что для этого не требуется никакой аутентификации.
Технический директор Onapsis Хуан Пабло Перес-Эчегойен пояснил: после успешной эксплуатации уязвимости нарушители получают возможность загружать произвольные файлы в систему. В реальных атаках уже зафиксированы многочисленные случаи внедрения веб-оболочек в уязвимые инфраструктуры.
Подобные оболочки предоставляют преступникам возможность выполнять любые команды в контексте системы с привилегиями пользователя операционной системы
Эксперты Onapsis акцентируют внимание: привилегии
Специалисты настоятельно рекомендуют системным администраторам проверить следующие директории на наличие индикаторов компрометации:
C:\usr\sap
C:\usr\sap
C:\usr\sap