Ты обновляешь NetWeaver — китайцы загружают бэкдор. Кто тут админ, а кто гость?
NewsMaker20 компаний из Fortune 500 уже пали. Остальные просто ещё не проверяли логи.
Исследователи из лаборатории Vedere Labs компании Forescout обнаружили связь между масштабной кибератакой на системы SAP NetWeaver и хакерской группировкой из Китая. Обнаруженная брешь в программном обеспечении позволяет получить полный контроль над корпоративными системами.
Разработчики SAP отреагировали на угрозу 24 апреля, выпустив экстренное обновление безопасности для компонента Visual Composer платформы NetWeaver. Критическая брешь, получившая идентификатор CVE-2025-31324, была впервые замечена специалистами компании ReliaQuest несколькими днями ранее.
Суть проблемы заключается в возможности загрузки вредоносных файлов на корпоративные серверы без авторизации. Такой доступ открывает путь к удаленному выполнению произвольного кода и, как следствие, полному захвату контроля над инфраструктурой.
Команда ReliaQuest зафиксировала ряд успешных проникновений в системы своих клиентов. Киберпреступники размещали в публичных директориях специальные веб-оболочки на языке JSP, а на следующем этапе применяли инструмент Brute Ratel для закрепления в системе. Примечательно, что пострадавшие экземпляры SAP NetWeaver имели все актуальные обновления, что указывает на использование уязвимости нулевого дня.
Масштаб угрозы подтвердили и другие эксперты по кибербезопасности. Специалисты watchTowr и Onapsis зафиксировали массовую установку бэкдоров на незащищенные экземпляры программного обеспечения, доступные из интернета.
Аналитики Mandiant отследили первые попытки эксплуатации бреши еще в середине марта 2025 года. В свою очередь, компания Onapsis дополнила исходный отчет: их системы-ловушки зарегистрировали разведывательную активность и тестирование вредоносного кода с 20 января, а целенаправленные попытки взлома начались 10 февраля.
Организация Shadowserver Foundation в настоящий момент отслеживает 204 незащищенных экземпляра SAP NetWeaver, подверженных риску компрометации через CVE-2025-31324.
Ситуация оказалась особенно тревожной для крупного бизнеса. По словам технического директора Onyphe Патриса Оффре, около 20 компаний из списков Fortune 500 и Global 500 оказались под угрозой, причем многие системы уже скомпрометированы. К концу апреля в сети обнаружили 1284 уязвимых инсталляции SAP NetWeaver, из которых 474 подверглись взлому.
Новая волна кибератак, зарегистрированная 29 апреля, привела исследователей Vedere Labs к китайской группировке, получившей обозначение Chaya_004. Её операторы проводили свои действия с IP-адресов, использующих необычные самоподписанные сертификаты с имитацией Cloudflare. Характерно, что большинство этих адресов принадлежало китайским облачным сервисам: Alibaba, Shenzhen Tencent, Huawei Cloud Service и China Unicom.
При проникновении в системы группировка применяла инструменты с китайским интерфейсом, включая специализированную веб-оболочку SuperShell для организации обратного доступа к серверу, созданную китаеязычным разработчиком.
"Исследуя механизмы активной эксплуатации этой бреши, мы раскрыли вредоносную инфраструктуру, предположительно принадлежащую китайским операторам. Мы присвоили группировке код Chaya_004 согласно нашей системе обозначения неидентифицированных угроз", — поясняют эксперты Forescout.
"В инфраструктуру входит сеть серверов с установленными бэкдорами Supershell, размещенных преимущественно у китайских облачных провайдеров. Кроме того, обнаружен набор инструментов для тестирования на проникновение, многие из которых также имеют китайское происхождение".
Для защиты от атак администраторам SAP рекомендуют незамедлительно обновить программное обеспечение NetWeaver, ограничить функции загрузки метаданных, внимательно следить за подозрительной активностью и по возможности деактивировать сервис Visual Composer.
Американское агентство CISA неделю назад включило брешь CVE-2025-31324 в перечень активно эксплуатируемых уязвимостей. Согласно директиве BOD 22-01, федеральные ведомства США должны обезопасить свои системы от подобных атак до 20 мая.
"Уязвимости такого типа регулярно становятся инструментом в руках киберпреступников и создают серьезную угрозу для государственной инфраструктуры", — предупреждает CISA.
Исследователи из лаборатории Vedere Labs компании Forescout обнаружили связь между масштабной кибератакой на системы SAP NetWeaver и хакерской группировкой из Китая. Обнаруженная брешь в программном обеспечении позволяет получить полный контроль над корпоративными системами.
Разработчики SAP отреагировали на угрозу 24 апреля, выпустив экстренное обновление безопасности для компонента Visual Composer платформы NetWeaver. Критическая брешь, получившая идентификатор CVE-2025-31324, была впервые замечена специалистами компании ReliaQuest несколькими днями ранее.
Суть проблемы заключается в возможности загрузки вредоносных файлов на корпоративные серверы без авторизации. Такой доступ открывает путь к удаленному выполнению произвольного кода и, как следствие, полному захвату контроля над инфраструктурой.
Команда ReliaQuest зафиксировала ряд успешных проникновений в системы своих клиентов. Киберпреступники размещали в публичных директориях специальные веб-оболочки на языке JSP, а на следующем этапе применяли инструмент Brute Ratel для закрепления в системе. Примечательно, что пострадавшие экземпляры SAP NetWeaver имели все актуальные обновления, что указывает на использование уязвимости нулевого дня.
Масштаб угрозы подтвердили и другие эксперты по кибербезопасности. Специалисты watchTowr и Onapsis зафиксировали массовую установку бэкдоров на незащищенные экземпляры программного обеспечения, доступные из интернета.
Аналитики Mandiant отследили первые попытки эксплуатации бреши еще в середине марта 2025 года. В свою очередь, компания Onapsis дополнила исходный отчет: их системы-ловушки зарегистрировали разведывательную активность и тестирование вредоносного кода с 20 января, а целенаправленные попытки взлома начались 10 февраля.
Организация Shadowserver Foundation в настоящий момент отслеживает 204 незащищенных экземпляра SAP NetWeaver, подверженных риску компрометации через CVE-2025-31324.
Ситуация оказалась особенно тревожной для крупного бизнеса. По словам технического директора Onyphe Патриса Оффре, около 20 компаний из списков Fortune 500 и Global 500 оказались под угрозой, причем многие системы уже скомпрометированы. К концу апреля в сети обнаружили 1284 уязвимых инсталляции SAP NetWeaver, из которых 474 подверглись взлому.
Новая волна кибератак, зарегистрированная 29 апреля, привела исследователей Vedere Labs к китайской группировке, получившей обозначение Chaya_004. Её операторы проводили свои действия с IP-адресов, использующих необычные самоподписанные сертификаты с имитацией Cloudflare. Характерно, что большинство этих адресов принадлежало китайским облачным сервисам: Alibaba, Shenzhen Tencent, Huawei Cloud Service и China Unicom.
При проникновении в системы группировка применяла инструменты с китайским интерфейсом, включая специализированную веб-оболочку SuperShell для организации обратного доступа к серверу, созданную китаеязычным разработчиком.
"Исследуя механизмы активной эксплуатации этой бреши, мы раскрыли вредоносную инфраструктуру, предположительно принадлежащую китайским операторам. Мы присвоили группировке код Chaya_004 согласно нашей системе обозначения неидентифицированных угроз", — поясняют эксперты Forescout.
"В инфраструктуру входит сеть серверов с установленными бэкдорами Supershell, размещенных преимущественно у китайских облачных провайдеров. Кроме того, обнаружен набор инструментов для тестирования на проникновение, многие из которых также имеют китайское происхождение".
Для защиты от атак администраторам SAP рекомендуют незамедлительно обновить программное обеспечение NetWeaver, ограничить функции загрузки метаданных, внимательно следить за подозрительной активностью и по возможности деактивировать сервис Visual Composer.
Американское агентство CISA неделю назад включило брешь CVE-2025-31324 в перечень активно эксплуатируемых уязвимостей. Согласно директиве BOD 22-01, федеральные ведомства США должны обезопасить свои системы от подобных атак до 20 мая.
"Уязвимости такого типа регулярно становятся инструментом в руках киберпреступников и создают серьезную угрозу для государственной инфраструктуры", — предупреждает CISA.