CISA: SAP serverlaridagi zaiflikdan real hujumlar sodir bo‘lmoqda
Amerika Qo‘shma Shtatlarining Kiberxavfsizlik va infratuzilma xavfsizligi agentligi (CISA) 2025-yil 29-aprel kuni SAP NetWeaver platformasidagi nihoyatda xavfli zaiflik — CVE-2025-31324ni o‘zining «Eng ko‘p ekspluatatsiya qilinayotgan zaifliklar katalogi»ga kiritdi. Bu zaiflik mart oyidan buyon real hujumlarda faol foydalanilayotgani aniqlangan.
CVE-2025-31324 zaifligi SAP NetWeaver’ning Visual Composer komponentidagi Metadata Uploader moduli orqali ishlatiladi. U autentifikatsiyasiz (ya’ni parolsiz) zararli fayllarni tizimga yuklab, to‘g‘ridan-to‘g‘ri masofaviy kod bajarilishi (RCE)ga olib keladi. Bu zaiflik CWE-434 — xavfli turdagi fayllarni cheklanmagan holda yuklash holati sifatida tasniflangan.
Onapsis kompaniyasi mutaxassislariga ko‘ra, bu zaiflik foydalanuvchidan hech qanday login yoki maxsus huquq talab qilmaydi. Tarmoq orqali ochiq qolgan zaif endpoint — developmentserver/metadatauploader orqali tahdidchilar tizimga zararli .jsp fayllarni yuklab, tizimga yashirin kirish imkonini qo‘lga kiritadilar.
Zaiflik tafsilotlari
| Ko‘rsatkich | Ma’lumot |
|---|---|
| Tashxis raqami | CVE-2025-31324 |
| Platforma | SAP NetWeaver AS Java, Visual Composer komponenti (VCFRAMEWORK 7.50) |
| Tavsif | Avtorizatsiyasiz zararli fayl yuklash, RCE orqali to‘liq tizim buzilishi |
| Zaif nuqta | /developmentserver/metadatauploader endpoint |
| Talablar | Faqat tarmoqga ulanish kifoya, parol yoki maxsus huquqlar talab qilinmaydi |
| CVSS bahosi | 10.0 — maksimal darajadagi xavf |
Bu zaiflik haqida birinchi marta ReliaQuest kompaniyasi 2025-yil 22-aprel kuni ochiq e’lon berdi. Shundan so‘ng, Onapsis tarmoq kuzatuvlari orqali mart oyidan buyon hujumlar sodir bo‘layotganini aniqladi. Hujumchilar .jsp, .java, yoki .class kengaytmali fayllar orqali serverga orqa eshik (webshell) joylashtirib, tizim ustidan to‘liq nazorat o‘rnatmoqda.
Visual Composer komponenti SAP tizimlarida sukut bo‘yicha o‘rnatilmagan bo‘lsa-da, ko‘plab korxonalar uni 50-70% hollarda faollashtirgan — ayniqsa kodsiz dastur ishlab chiqishga ixtisoslashgan biznes foydalanuvchilari orasida bu komponent mashhur.
SAP 2025-yil 24-aprel kuni Security Note #3594142 orqali favqulodda yamoq (patch) chiqargan. Agar tashkilot darhol yangilanishni o‘rnatolmasa, SAP Note #3593336 orqali vaqtinchalik himoya choralarini qo‘llash mumkin. SAP, shuningdek, serverda zararli faoliyat belgilarini aniqlash uchun maxsus FAQ hujjat ham chiqargan.
CISA tomonidan BOD 22-01 direktivasi doirasida, AQSh federal agentliklari 2025-yil 20-maygacha bu zaiflikni bartaraf etishlari shart. Chunki bu darajadagi zaifliklar katta moliyaviy, axboriy va infratuzilmaviy yo‘qotishlarga olib kelishi mumkin.
SAP NetWeaver platformasi — ayniqsa AS Java versiyasi — ko‘plab korporativ infratuzilmalarda ishlatiladi. Ushbu zaiflik orqali buzilgan tizimlar orqali tahdidchilar moliyaviy ma’lumotlar, shaxsiy identifikatsiya ma’lumotlari va boshqa tizimlarga kirish yo‘llarini qo‘lga kiritishlari mumkin.
Kiberxavfsizlik mutaxassislari barcha tashkilotlarga zudlik bilan xavfsizlik yangilanishini o‘rnatish, shuningdek tarmoq monitoringini kuchaytirishni tavsiya qiladilar. Chunki bu zaiflik — shunchaki xavf emas, balki haqiqatda amalga oshirilayotgan tahdiddir.
