CVE-2025-31324 — серьезная уязвимость удаленного выполнения кода (RCE) в сервере разработки SAP NetWeaver, которой злоумышленники начали пользоваться в марте 2025 года. Оценка CVSS равна 8, что классифицирует проблему как критическую и указывает на реальную возможность полной компрометации системы и нарушения бизнес-процессов ERP.
Суть уязвимости
Уязвимость возникает из-за неправильной проверки файлов моделей, загружаемых через конечную точку metadatauploader. Злоумышленники отправляют изменённые файлы, часто упакованные как ZIP/JAR и переданные с указанием контента в виде octet-stream. Сервер, не выполнив должной валидации, ошибочно обрабатывает такой контент как безопасный, после чего при последующей обработке модели происходит выполнение встроенного вредоносного кода.
Хронология и масштаб эксплуатации
- Активное злоупотребление уязвимостью началось около марта 2025 года.
- После появления эксплойта в августе 2025 года эксплуатация получила более широкое распространение.
- Исправления от SAP были выпущены в сентябре 2025 года; уязвимы версии серверов приложений SAP NetWeaver до релиза этих патчей.
Типичная цепочка атаки
- Создание вредоносной полезной нагрузки в формате ZIP/JAR, включающей модифицированные определения моделей или вредоносные классы.
- Отправка полезной нагрузки через HTTP POST на конечную точку metadatauploader с заголовком типа octet-stream.
- Сервер, не выполнив корректной валидации, принимает и сохраняет файл; при последующей обработке модели происходит выполнение кода.
- Установление постоянного доступа: развёртывание веб‑шеллов (helper.jsp, cache.jsp) и бэкдора Auto-Color на Linux, способного запускать обратные оболочки, манипулировать файлами и действовать скрытно.
Последствия компрометации
- Постоянный доступ злоумышленников к системе и агентам в инфраструктуре.
- Кража данных и утечка конфиденциальной информации.
- Перемещение внутри корпоративной сети (lateral movement) и подрыв целостности сегментов ERP.
- Серьёзные сбои в работе ключевых бизнес‑процессов.
«Наличие CVE-2025-31324 подчеркивает острую необходимость в механизмах безопасной загрузки в корпоративном программном обеспечении промежуточного уровня.»
Рекомендации по защите и проверке
- Немедленно применить обновления, выпущенные SAP в сентябре 2025 года — приоритет для всех инсталляций SAP NetWeaver.
- Внедрить и настроить IPS/IDS, способные идентифицировать POST‑запросы к metadatauploader с указанием типа контента octet-stream и наличием двоичной (binary) полезной нагрузки.
- Настроить EDR для отслеживания аномалий в поведении процессов SAP, в частности неожиданных вызовов командной строки и сетевых соединений.
- Ограничить доступ серверов разработки к доверенным сетям и сегментам, минимизировать сетевую экспозицию dev‑инфраструктуры.
- Проверка исправлений: убедиться, что SAP NetWeaver обновлён до последней версии, и выполнить тесты отправки запросов на metadatauploader, чтобы подтвердить, что сервер корректно отклоняет двоичную и упакованную вредоносную полезную нагрузку.
Заключение. CVE-2025-31324 демонстрирует, насколько опасными могут быть ошибки валидации входящих файлов в системах промежуточного слоя. Для снижения рисков необходимы скоординированные действия: оперативное применение патчей, усиленный мониторинг, проверка поведения приложений и ограничение сетевого доступа дев‑серверов. Без этих мер потенциальные последствия для бизнеса и безопасности данных остаются критическими.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "CVE-2025-31324: критическая RCE в SAP NetWeaver через metadatauploader".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.