Kyberzločinci pravdepodobne zneužívajú novú zraniteľnosť v SAP NetWeaver na nahratie JSP web shellov s cieľom umožniť neoprávnené nahrávanie súborov a spúšťanie kódu.
„Zneužívanie pravdepodobne súvisí buď s už skôr zverejnenou zraniteľnosťou, ako je CVE-2017-9844, alebo s doposiaľ neohláseným problémom typu remote file inclusion (RFI),” uviedla spoločnosť ReliaQuest v správe publikovanej tento týždeň.
Spoločnosť pre kybernetickú bezpečnosť uviedla, že možnosť, že ide o zero-day zraniteľnosť, vyplýva z toho, že niektoré zo zasiahnutých systémov už bežali na najnovších záplatách.
Chyba sa podľa hodnotenia nachádza v koncovom bode “/developmentserver/metadatauploader” v prostredí NetWeaver, ktorý umožňuje neznámym hrozbovým aktérom nahrávať škodlivé JSP web shelly do cesty “servlet_jsp/irj/root/” pre trvalý vzdialený prístup a doručovanie ďalších škodlivých súborov.
Inými slovami, ľahký JSP web shell je nastavený na nahrávanie neoprávnených súborov, umožnenie trvalej kontroly nad infikovanými hostiteľmi, vykonávanie vzdialeného kódu a odčerpávanie citlivých údajov.
V niektorých incidentoch bolo pozorované používanie frameworku Brute Ratel C4 na post-exploatačné aktivity, ako aj známej techniky nazývanej Heaven’s Gate na obchádzanie ochrany koncových zariadení.
V najmenej jednom prípade trvalo hrozbovým aktérom niekoľko dní, kým sa po úspešnom prvotnom prístupe posunuli k ďalšiemu zneužívaniu, čo naznačuje, že útočník môže byť broker prístupu (IAB – Initial Access Broker), ktorý získava a predáva prístupy iným hrozbovým skupinám na podzemných fórach.
„Naše vyšetrovanie odhalilo znepokojujúci vzorec, ktorý naznačuje, že protivníci využívajú známu zraniteľnosť v kombinácii s vyvíjajúcimi sa technikami, aby maximalizovali svoj dopad,” uviedla spoločnosť ReliaQuest.
„Riešenia SAP často využívajú vládne agentúry a podniky, čo z nich robí vysoko hodnotné ciele pre útočníkov. Pretože riešenia SAP sú často nasadzované on-premises (na miestnej infraštruktúre), bezpečnostné opatrenia sú zverené používateľom; aktualizácie a záplaty, ktoré nie sú aplikované včas, pravdepodobne vystavujú tieto systémy vyššiemu riziku kompromitácie.”
Mimochodom, spoločnosť SAP tiež vydala aktualizáciu, ktorá rieši bezpečnostnú chybu s maximálnou závažnosťou (CVE-2025-31324, CVSS skóre: 10.0), ktorú by útočník mohol využiť na nahratie ľubovoľných súborov.
„SAP NetWeaver Visual Composer Metadata Uploader nie je chránený riadnym overením autorizácie, čo umožňuje neautentifikovanému agentovi nahrávať potenciálne škodlivé spustiteľné binárne súbory, ktoré by mohli vážne poškodiť hostiteľský systém,” uvádza sa v bezpečnostnom oznámení o zraniteľnosti.
Je pravdepodobné, že CVE-2025-31324 sa týka toho istého zatiaľ nezverejneného bezpečnostného defektu, pretože sa týka rovnakého komponentu – metadata uploader.
Zverejnenie tejto správy prichádza len niečo viac ako mesiac po tom, čo americká agentúra CISA (Cybersecurity and Infrastructure Security Agency) varovala pred aktívnym zneužívaním ďalšej vysoko závažnej chyby v SAP NetWeaver (CVE-2017-12637), ktorá by mohla umožniť útočníkovi získať citlivé konfiguračné súbory SAP.
Ďalšie informácie je možné nájsť na stránkach: