MISTER X
Эксперт
Команда форума
Судья
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Координатор арбитражей
Софт для комфортного бизнеса переживает не лучшие времена. Где причина?
Неизвестные злоумышленники научились внедрять вредоносные веб-оболочки в SAP NetWeaver. И, как выяснилось, они используют JSP-файлы для несанкционированной загрузки данных и исполнения произвольного кода в системе.
Специалисты компании
Исследователи локализовали проблему в конечной точке "/developmentserver/metadatauploader" среды NetWeaver. Через этот компонент киберпреступники размещают вредоносные JSP-оболочки в директории "servlet_jsp/irj/root/". Подобный механизм позволяет надолго закрепиться в инфраструктуре и доставлять дополнительные зловредные программы.
Внедренные JSP наделены широким функционалом: они способны устанавливать полный контроль над зараженными машинами, запускать команды удаленно и извлекать конфиденциальные сведения.
В ряде инцидентов аналитики зафиксировали следы использования фреймворка Brute Ratel C4, предназначенного для пост-эксплуатации. Нарушители также применяли технику Heaven's Gate, позволяющую обходить защитные механизмы конечных точек.
SAP недавно выпустила патч для устранения критической уязвимости
Как поясняют разработчики, компонент SAP NetWeaver Visual Composer Metadata Uploader оказался лишен необходимых механизмов авторизации. Из-за этого неаутентифицированный агент может внедрять потенциально опасные исполняемые файлы, способные нанести серьезный ущерб хосту.
Существуют весомые основания полагать, что CVE-2025-31324 — та самая неизвестная брешь, о которой шла речь выше: обе проблемы затрагивают модуль загрузки метаданных и демонстрируют идентичные признаки.
Новая
Совсем недавно в разговоре с журналистами эксперты ReliaQuest подтвердили: обнаруженная ими вредоносная активность действительно связана с новой уязвимостью CVE-2025-31324. Организация выявила проблему во время расследования 22 апреля 2025 года. Изначально аналитики предполагали наличие бреши, связанной с удаленным внедрением файлов, однако позже SAP классифицировала ее как уязвимость неограниченной загрузки.
Компания Onapsis, специализирующаяся на безопасности SAP, опубликовала детальный отчет о механизме эксплуатации. Злоумышленники могут задействовать протоколы HTTP/HTTPS для отправки специально сформированных POST-запросов к конечной точке "/developmentserver/metadatauploader".
Подобные оболочки предоставляют преступникам возможность выполнять любые команды в контексте системы с привилегиями пользователя операционной системы <sid>adm. Такой уровень доступа открывает путь ко всем ресурсам NetWeaver. На текущий момент ни одна известная хакерская группировка не взяла на себя ответственность за серию атак.
Команда Onapsis акцентирует внимание на еще одном моменте: привилегии <sid>adm также позволяют злоумышленникам управлять базовой операционкой SAP, используя учетные данные и права процессов, работающих на сервере приложений.
Системным администраторам рекомендуют проверить следующие директории на наличие индикаторов компрометации:
C:\usr\sap<SID><InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\root
C:\usr\sap<SID><InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work
C:\usr\sap<SID><InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work\sync

Неизвестные злоумышленники научились внедрять вредоносные веб-оболочки в SAP NetWeaver. И, как выяснилось, они используют JSP-файлы для несанкционированной загрузки данных и исполнения произвольного кода в системе.
Специалисты компании
Для просмотра ссылки необходимо нажать
Вход или Регистрация
полагают: источником проблемы может служить либо ранее обнаруженная
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, либо пока не зарегистрированная брешь, связанная с удаленным внедрением файлов. На возможное существование нового изъяна указывает тревожный факт — некоторые из пострадавших систем уже содержали все последние обновления безопасности. Исследователи локализовали проблему в конечной точке "/developmentserver/metadatauploader" среды NetWeaver. Через этот компонент киберпреступники размещают вредоносные JSP-оболочки в директории "servlet_jsp/irj/root/". Подобный механизм позволяет надолго закрепиться в инфраструктуре и доставлять дополнительные зловредные программы.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Внедренные JSP наделены широким функционалом: они способны устанавливать полный контроль над зараженными машинами, запускать команды удаленно и извлекать конфиденциальные сведения.
В ряде инцидентов аналитики зафиксировали следы использования фреймворка Brute Ratel C4, предназначенного для пост-эксплуатации. Нарушители также применяли технику Heaven's Gate, позволяющую обходить защитные механизмы конечных точек.
SAP недавно выпустила патч для устранения критической уязвимости
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, получившей максимальную оценку опасности — 10 баллов из 10 по шкале CVSS. Найденная брешь позволяет нарушителям загружать любые материалы в систему без ограничений. Как поясняют разработчики, компонент SAP NetWeaver Visual Composer Metadata Uploader оказался лишен необходимых механизмов авторизации. Из-за этого неаутентифицированный агент может внедрять потенциально опасные исполняемые файлы, способные нанести серьезный ущерб хосту.
Существуют весомые основания полагать, что CVE-2025-31324 — та самая неизвестная брешь, о которой шла речь выше: обе проблемы затрагивают модуль загрузки метаданных и демонстрируют идентичные признаки.
Новая
Для просмотра ссылки необходимо нажать
Вход или Регистрация
появилась спустя месяц после того, как Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило об активной эксплуатации еще одного опасного бага в NetWeaver —
Для просмотра ссылки необходимо нажать
Вход или Регистрация
. Он открывает злоумышленникам доступ к критически важным конфигурационным файлам SAP. Совсем недавно в разговоре с журналистами эксперты ReliaQuest подтвердили: обнаруженная ими вредоносная активность действительно связана с новой уязвимостью CVE-2025-31324. Организация выявила проблему во время расследования 22 апреля 2025 года. Изначально аналитики предполагали наличие бреши, связанной с удаленным внедрением файлов, однако позже SAP классифицировала ее как уязвимость неограниченной загрузки.
Компания Onapsis, специализирующаяся на безопасности SAP, опубликовала детальный отчет о механизме эксплуатации. Злоумышленники могут задействовать протоколы HTTP/HTTPS для отправки специально сформированных POST-запросов к конечной точке "/developmentserver/metadatauploader".
Подобные оболочки предоставляют преступникам возможность выполнять любые команды в контексте системы с привилегиями пользователя операционной системы <sid>adm. Такой уровень доступа открывает путь ко всем ресурсам NetWeaver. На текущий момент ни одна известная хакерская группировка не взяла на себя ответственность за серию атак.
Команда Onapsis акцентирует внимание на еще одном моменте: привилегии <sid>adm также позволяют злоумышленникам управлять базовой операционкой SAP, используя учетные данные и права процессов, работающих на сервере приложений.
Системным администраторам рекомендуют проверить следующие директории на наличие индикаторов компрометации:
C:\usr\sap<SID><InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\root
C:\usr\sap<SID><InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work
C:\usr\sap<SID><InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work\sync
Для просмотра ссылки необходимо нажать
Вход или Регистрация