Изображение: recraft
Исследователи Forescout Vedere Labs зафиксировали серию целенаправленных атак на корпоративные ресурсы, использующие платформу SAP NetWeaver. По данным специалистов, волна взломов началась в конце апреля 2025 года и затронула компании в разных странах. Поводом для тревоги стало использование критического изъяна в интерфейсе загрузки метаданных, через который злоумышленники проникают в инфраструктуру и получают доступ к управляющим системам.
Уязвимость, получившая идентификатор CVE-2025-31324, позволяет атакующему исполнить произвольный код на удалённом сервере, загрузив специально подготовленный файл через открытый путь «/developmentserver/metadatauploader». Проблема оказалась настолько серьёзной, что получила наивысшую оценку 10.0 в системе CVSS и попала в перечень активно используемых уязвимостей, составленный агентством CISA.
Первый всплеск активности был зафиксирован 29 апреля, когда ловушки, развернутые Forescout Vedere Labs, начали фиксировать резкий рост подозрительного сканирования. Одновременно были обнаружены массовые вторжения, в которых принимала участие ранее неизвестная структура, обозначенная условным кодом Chaya_004. По ряду признаков аналитики пришли к выводу, что инициатива связана с кибергруппировками из Китая.
Сценарий атак выглядел однотипно. Сначала на целевой сервер загружалась web-оболочка, например «helper.jsp» или «ssonkfrd.jsp». После этого при помощи утилиты curl туда подгружались дополнительные вредоносные модули с внешних источников. Такие действия приводили к сбоям в работе бизнес-систем, нарушению доступа к CRM, SCM и SRM-приложениям, а также открывали злоумышленникам путь к учётным данным и внутренним сервисам.
Как подчеркнули специалисты, захваченные SAP-серверы в ряде случаев использовались в качестве точки входа для дальнейшего продвижения по сети, что свидетельствует о высокой степени подготовки атакующих. Самая активная часть инфраструктуры, задействованной в этих операциях, была привязана к IP-адресу 47.97.42[.]177. Именно там размещалась web-оболочка Supershell, написанная на Go, которую взломщики маскировали под сервисы Cloudflare, используя поддельный сертификат.
По информации Forescout, по отпечаткам этих сертификатов удалось выявить ещё 578 связанных IP-адресов. Анализ показал, что большинство из них находятся в китайских облачных системах — среди них Alibaba, Tencent, Huawei Cloud и China Unicom. Такой кластер указывает на географическое и техническое происхождение атакующей стороны.
Оригинал публикации на сайте CISOCLUB: "Хакеры маскируются под облачные сервисы и проникают в SAP-системы через уязвимость metadata uploader".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.