Более 400 систем SAP NetWeaver находятся под угрозой

Недавние исследования в области кибербезопасности выявили серьезную уязвимость в системах SAP NetWeaver. По данным аналитиков Shadowserver, в настоящее время под угрозой находятся 454 устройства SAP NetWeaver. Эта уязвимость уже активно используется в реальных атаках.

Уязвимость зарегистрирована под идентификатором CVE-2025-31324 и обнаружена в компоненте Metadata Uploader платформы SAP NetWeaver Visual Composer. Она позволяет злоумышленникам загружать вредоносные файлы без аутентификации и получать полный контроль над системой.

Как работает уязвимость?

  • Злоумышленники могут получить доступ к адресу SAP-сервера /developmentserver/metadatauploader без аутентификации и загрузить вредоносные файлы.
  • С помощью загруженных файлов возможно взломать систему, украсть данные или создать постоянные точки доступа к серверу.
  • В некоторых случаях атакующие использовали продвинутые инструменты эксплуатации, такие как Brute Ratel C4, и техники обхода защиты, например, Heaven’s Gate.

Почему эта уязвимость опасна?

  • Не требуется пароль или аутентификация.
  • Не нужно взаимодействие с пользователем (например, клик по ссылке).
  • Атака технически несложна для реализации.
  • Возможен полный контроль над системой.

Хотя модуль SAP NetWeaver Visual Composer не устанавливается по умолчанию, он присутствует в 50–70% Java-based SAP-систем. Это делает множество организаций уязвимыми для данной угрозы.

Действия SAP

Компания SAP экстренно выпустила исправление (patch) 24 апреля 2025 года через Security Note 3594142.
Если немедленная установка патча невозможна, можно воспользоваться временными мерами защиты, описанными в SAP Note 3593336.

Как определить, находится ли ваша система под угрозой?

  1. Проверьте, доступен ли адрес /developmentserver/metadatauploader. Если он открывается без аутентификации — ваша система уязвима.
  2. Просмотрите логи веб-сервера на предмет несанкционированного доступа или попыток загрузки вредоносных файлов.
  3. Мониторьте необычные исходящие интернет-соединения из SAP-системы.

Рекомендации экспертов

  • Немедленно установите патчи SAP.
  • Если установка патча невозможна, внедрите временные меры защиты и усилите мониторинг.
  • Регулярно проводите сканирование уязвимостей и анализы безопасности в ваших SAP-системах.

Эта уязвимость чрезвычайно серьезна и представляет значительную угрозу для организаций. Для защиты системы необходимо немедленно приступить к техническим мерам и мониторингу. Каждая минута промедления может сыграть на руку злоумышленникам.