CISA: Реальные атаки используют уязвимость в серверах SAP
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) 29 апреля 2025 года включило чрезвычайно опасную уязвимость CVE-2025-31324, связанную с платформой SAP NetWeaver, в свой каталог «Наиболее эксплуатируемых уязвимостей». Выяснилось, что эта уязвимость активно используется в реальных атаках с марта текущего года.
Уязвимость CVE-2025-31324 эксплуатируется через модуль Metadata Uploader компонента Visual Composer платформы SAP NetWeaver. Она позволяет загружать вредоносные файлы в систему без аутентификации (то есть без ввода пароля), что приводит к прямому выполнению удалённого кода (RCE). Уязвимость классифицируется как CWE-434 — неограниченная загрузка файлов опасного типа.
По данным экспертов компании Onapsis, для эксплуатации уязвимости не требуется вход в систему или наличие специальных привилегий. Через уязвимую конечную точку — developmentserver/metadatauploader, доступную в сети, злоумышленники загружают вредоносные файлы .jsp, получая скрытый доступ к системе.
Подробности уязвимости
| Показатель | Описание |
|---|---|
| Идентификатор | CVE-2025-31324 |
| Платформа | SAP NetWeaver AS Java, компонент Visual Composer (VCFRAMEWORK 7.50) |
| Описание | Загрузка вредоносных файлов без авторизации, полное нарушение системы через RCE |
| Уязвимая точка | Конечная точка /developmentserver/metadatauploader |
| Требования | Достаточно сетевого доступа, пароли или привилегии не требуются |
| Оценка CVSS | 10.0 — максимальный уровень опасности |
Впервые о данной уязвимости публично сообщила компания ReliaQuest 22 апреля 2025 года. После этого Onapsis с помощью сетевого мониторинга установила, что атаки начались ещё в марте. Злоумышленники используют файлы с расширениями .jsp, .java или .class для установки на сервер «чёрной двери» (webshell), что позволяет им полностью контролировать систему.
Хотя компонент Visual Composer не установлен по умолчанию в системах SAP, многие организации активируют его в 50–70% случаев, особенно среди бизнес-пользователей, специализирующихся на разработке приложений без программирования.
Компания SAP выпустила экстренный патч (Security Note #3594142) 24 апреля 2025 года. Если организация не может немедленно установить обновление, она может применить временные меры защиты, описанные в SAP Note #3593336. Также SAP опубликовала специальный документ FAQ для выявления признаков вредоносной активности на сервере.
В рамках директивы BOD 22-01 CISA обязала федеральные агентства США устранить эту уязвимость до 20 мая 2025 года. Уязвимости такого уровня могут привести к значительным финансовым, информационным и инфраструктурным потерям.
Платформа SAP NetWeaver, особенно версия AS Java, широко используется в корпоративных инфраструктурах. Через скомпрометированные из-за этой уязвимости системы злоумышленники могут получить доступ к финансовым данным, личной идентификационной информации и другим системам.
Эксперты по кибербезопасности настоятельно рекомендуют всем организациям немедленно установить обновление безопасности и усилить мониторинг сети. Эта уязвимость — не просто потенциальная угроза, а реально используемая в атаках опасность.
