Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Критическая уязвимость CVE-2025-31324 в SAP и атаки Qilin RaaS

2
3 мин
Недавний отчет компании OP Innovate выявил критическую уязвимость CVE-2025-31324 в SAP NetWeaver Visual Composer, которая открывает злоумышленникам возможность загрузки файлов без проверки подлинности через конечную точку /developmentserver/metadatauploader. Это позволяет ставить web shell и удаленно выполнять вредоносный код, что представляет серьёзную угрозу для корпоративных систем. В ходе расследования установлено, что злоумышленники получили доступ к уязвимой конечной точке примерно за три недели до официального публичного раскрытия уязвимости. Примечательно, что ими оказался опытный хакер из группы Qilin ransomware-as-a-service (RaaS), часто ассоциируемой с русскоязычными киберпреступниками. Использование уязвимости начиналось с эксплуатации неправильно настроенного балансировщика нагрузки, который непреднамеренно открыл доступ к /developmentserver/metadatauploader из интернета. Далее злоумышленники загружали web shell на основе JSP — например, random12.jsp, — что позволило им уд
Оглавление
Источник: op-c.net
Источник: op-c.net

Критическая уязвимость CVE-2025-31324 в SAP NetWeaver Visual Composer: новый вектор для атак группы Qilin

Недавний отчет компании OP Innovate выявил критическую уязвимость CVE-2025-31324 в SAP NetWeaver Visual Composer, которая открывает злоумышленникам возможность загрузки файлов без проверки подлинности через конечную точку /developmentserver/metadatauploader. Это позволяет ставить web shell и удаленно выполнять вредоносный код, что представляет серьёзную угрозу для корпоративных систем.

Механизм эксплуатации уязвимости

В ходе расследования установлено, что злоумышленники получили доступ к уязвимой конечной точке примерно за три недели до официального публичного раскрытия уязвимости. Примечательно, что ими оказался опытный хакер из группы Qilin ransomware-as-a-service (RaaS), часто ассоциируемой с русскоязычными киберпреступниками.

Использование уязвимости начиналось с эксплуатации неправильно настроенного балансировщика нагрузки, который непреднамеренно открыл доступ к /developmentserver/metadatauploader из интернета. Далее злоумышленники загружали web shell на основе JSP — например, random12.jsp, — что позволило им удалённо выполнять произвольный код.

Тактика атаки и используемые инструменты

  • Злоумышленники отправляли исходящие сообщения в инфраструктуру командования и контроля (C2) при помощи Cobalt Strike.
  • В систему была загружена полезная нагрузка rs64c.exe — инструмент обратного туннелирования SOCKS5, замаскированный под svchost.exe.
  • Такие действия обеспечивали злоумышленникам контроль над инфрастуктурой и возможность перемещения по сети.

Данные ясно указывают на то, что инфраструктура и тактика атаки тесно связаны с операциями группы Qilin. Эта RaaS-группа специализируется на проникновениях через незащищённые веб-приложения с последующим использованием Cobalt Strike для горизонтального перемещения и сбора данных, перед потенциальным развертыванием ransomware.

Влияние и последствия инцидента

Этот случай дополнительно демонстрирует рост числа вредоносных программ, эксплуатирующих уязвимости в корпоративном промежуточном ПО. Индонезийское национальное кибер- и криптографическое агентство опубликовало накануне бюллетень IOC, в котором содержались IP-адреса и пути доступа к инструментам группы Qilin примерно в тот же период.

Совпадение инфраструктурных данных повышает вероятность того, что злоумышленники действительно применяли известные техники и ресурсы Qilin при эксплуатации CVE-2025-31324. Несмотря на использование продвинутых механизмов защиты, таких как брандмауэры и средства EDR, которые блокировали исходящие коммуникации и помещали угрозы в карантин, попытки злоумышленников скрыть следы и стереть доказательства атаки не увенчались успехом благодаря своевременным превентивным мерам.

Рекомендации по снижению рисков

Для минимизации угроз, связанных с CVE-2025-31324 и аналогичными уязвимостями, экспертами рекомендуется следующее:

  • Использовать проактивные методы обнаружения и мониторинга уязвимостей, например, специализированный WASP scanner от OP Innovate.
  • Обеспечить своевременное обновление систем SAP и устранение выявленных слабых мест.
  • Внедрять комплексные меры по защите веб-приложений и промежуточного ПО, включая строгие настройки балансировщиков нагрузки и ограничение доступа к критическим конечным точкам.
  • Обучать сотрудников и повышать уровень осведомленности о факторе целенаправленных атак, основанных на уязвимостях промежуточного программного обеспечения.

Данный инцидент подчеркивает необходимость постоянного совершенствования корпоративных стратегий кибербезопасности, особенно в условиях распространения сложных, многоэтапных атак со стороны профессиональных группировок вроде Qilin.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Критическая уязвимость CVE-2025-31324 в SAP и атаки Qilin RaaS".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются