Una falla di sicurezza critica nel componente Visual Composer di SAP NetWeaver, identificato come CVE-2025-31324, è stato sfruttato attivamente dagli attori della minaccia.
Questa vulnerabilità consente agli aggressori non autenticati di caricare file dannosi, portando a un potenziale compromesso completo del sistema. SAP ha rilasciato una patch per risolvere questo problema, e le organizzazioni sono invitate ad applicarlo immediatamente.
Panoramica tecnica CVE-2025-31324
La vulnerabilità risiede nel /developmentserver/metadatauploader endpoint di Visual Composer di SAP NetWeaver. A causa di controlli di autorizzazione mancanti, gli aggressori possono caricare file JSP dannosi senza autenticazione. Una volta caricato su servlet_jsp/irj/root/ elenco, questi file possono essere eseguiti in remoto, concedere agli aggressori il controllo sul sistema.
Sfruttamento in natura
L'azienda di sicurezza ReliaQuest ha scoperto che gli aggressori stanno sfruttando questo Vulnerabilità SAP per distribuire web shell JSP, facilitare il caricamento di file non autorizzati e l'esecuzione di codice. Tecniche avanzate, incluso l'uso di Brute Ratel e del metodo Heaven's Gate, sono stati osservati per mantenere la persistenza e sfuggire al rilevamento. In alcuni casi, Gli aggressori hanno impiegato giorni per passare dall'accesso iniziale all'ulteriore sfruttamento, suggerendo il coinvolgimento di broker di accesso iniziale.
Indicatori di compromesso (IOC)
- Tentativi di accesso non autorizzati al
/developmentserver/metadatauploaderil percorso. - File JSP inaspettati nel
servlet_jsp/irj/root/elenco, comehelper.jspecache.jsp. - Connessioni in uscita insolite dai sistemi SAP.
Passaggi di mitigazione
- Applica la patch: Implementare la nota sulla sicurezza SAP 3594142 per affrontare CVE-2025-31324.
- Accesso limitato: Limitare l'accesso al
/developmentserverendpoint tramite regole firewall. - Monitorare i registri: Monitorare costantemente i registri di SAP NetWeaver per attività sospette.
- Ispezionare le Web Shell: Controllare regolarmente il
servlet_jsp/irj/root/directory per i file non autorizzati. - Disabilita Visual Composer: Se non in uso, valutare la disattivazione del componente Visual Composer per ridurre le superfici di attacco.
Le organizzazioni che utilizzano SAP NetWeaver dovrebbero dare priorità a questi passaggi di mitigazione per proteggersi dal potenziale sfruttamento di questa vulnerabilità critica.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: