Недавняя уязвимость CVE-2025-31324, обнаруженная в SAP NetWeaver Visual Composer, вызывает серьезные опасения в области кибербезопасности. Особое внимание к данной проблеме уделяется ввиду активных атак, проводимых китайскими хакерами. Уязвимость позволяет злоумышленникам выполнять удаленный код, загружая вредоносные веб-оболочки через конечную точку /developmentserver/metadatauploader.
Механизм эксплуатации уязвимости
Специалисты отметили, что злоумышленники используют последовательные схемы атаки, которые включают:
- Запросы POST, нацеленные на уязвимую конечную точку для развертывания постоянных веб-оболочек.
- Использование компонентов, таких как curl, для загрузки дополнительных вредоносных программ из скомпрометированных источников.
Новая веб-оболочка часто идентифицируется произвольными суффиксами, например, helper.jsp, и предоставляет злоумышленникам возможность манипулировать приложениями SAP, таким как CRM и SCM-системы. Это создает риск серьезных сбоев в работе систем, утечек информации и перехвата учетных данных.
Подверженные риску производственные сектора
Попытки эксплуатации уязвимости особенно распространены в производственных секторах, где системы SAP критически важны для операционной деятельности. Это подчеркивает необходимость скорейшего устранения уязвимости, чтобы избежать несоблюдения нормативных требований и потенциальных простоев в работе.
Анализ действий злоумышленников
В ходе расследования были выявлены действия сканирования, предшествовавшие попыткам взлома. Сразу после объявления CVE уязвимые серверы были обнаружены по нескольким IP-адресам. Например:
- Сканирование было направлено как на уязвимые конечные точки, так и на ранее скомпрометированные серверы.
- Многие проверяемые IP-адреса оказались связаны с авторитетными хостинговыми службами, что указывает на использование скомпрометированной инфраструктуры.
Также было проведено дальнейшее расследование вредоносной инфраструктуры, связанной с определенным IP-адресом, на котором размещен бэкдор SuperShell. Этот инструмент, разработанный на языке Go, продемонстрировал расширенные оперативные возможности, включая наличие множества открытых портов.
Происхождение и инфраструктура атак
Сопоставление данных с более широкой экосистемой угроз показало, что связанные IP-адреса имеют историческое распространение вредоносного ПО и используют инструменты и сервисы на китайском языке. Это указывает на потенциальное происхождение атак из Китая.
В ходе анализа были выявлены несколько ASN, связанные с крупными поставщиками облачных услуг, такими как Alibaba и Tencent, что подчеркивает высокую степень инфраструктуры, поддерживающей эти операции.
Заключение
Операции, приписываемые группе хакеров под названием Chaya_004, подчеркивают необходимость постоянного мониторинга угроз и обмена разведывательными данными. Использование сложных автоматизированных инструментов для разведки активов и сканирования уязвимостей делает их атаки широкомасштабными и оппортунистическими, что требует повышенного внимания со стороны организаций, использующих системы SAP.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Уязвимость SAP NetWeaver Visual Composer: угроза от китайских хакеров".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.