Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Уязвимость в SAP NetWeaver уже в эксплуатации

16/05/25

webinar-i-hacked-sap-768x736

Крупнейшие группировки вымогателей начали активно эксплуатировать уязвимость в SAP NetWeaver, получившую идентификатор CVE-2025-31324 и оценку CVSS: 10.0. С её помощью злоумышленники могут загружать вредоносные файлы на серверы без прохождения аутентификации, что открывает путь к удалённому выполнению кода и полной компрометации систем, пишет Securitylab.

Компания SAP выпустила экстренное обновление 24 апреля, спустя всего несколько дней после того, как специалисты ReliaQuest зафиксировали активное использование уязвимости в реальных атаках. Сегодня ReliaQuest сообщила, что к эксплуатации уязвимости подключились операторы вымогательских программ RansomEXX и BianLian. Хотя шифровальщики пока не были успешно задействованы, это сигнализирует об усилении интереса со стороны киберпреступников к NetWeaver.

По данным ReliaQuest, группа BianLian была связана как минимум с одним инцидентом. Связь установлена на основании IP-адреса, ранее использовавшегося в инфраструктуре команды. В атаке RansomEXX применялся модульный бэкдор PipeMagic, а также уязвимость Windows CLFS (CVE-2025-29824), известная по прошлым кампаниям этой группировки. Первоначальная попытка развернуть вредоносное ПО через вебшеллы helper.jsp и cache.jsp завершилась неудачей, но позже хакеры воспользовались фреймворком Brute Ratel, внедрив его через inline-задачу MSBuild.

Параллельно с этим, атаки продолжают и кибергруппы, связанные с Китаем. Была зафиксирована активность группировки Chaya_004, а EclecticIQ сообщила о целенаправленных атаках со стороны UNC5221, UNC5174 и CL-STA-0048. Судя по открытым файлам на одном из незашищённых серверов атакующих, китайские хакеры уже встроили бэкдоры в как минимум 581 инстанс SAP NetWeaver, включая инфраструктуру Великобритании, США и Саудовской Аравии. Кроме того, в списке на атаку значится ещё 1 800 доменов.

По данным Forescout, такие бэкдоры позволяют получить долгосрочный доступ к системам и могут быть использованы для достижения стратегических целей, включая военные, разведывательные и экономические интересы КНР. Особенно тревожит то, что компрометированные системы SAP тесно интегрированы с промышленными системами управления (ICS), что создаёт угрозу бокового перемещения и серьёзных сбоев.

На фоне обострения ситуации, SAP также закрыла вторую уязвимость — CVE-2025-42999 — использовавшуюся в цепочках атак ещё с марта в режиме нулевого дня. Администраторам настоятельно рекомендуется немедленно установить обновления безопасности, либо временно отключить компонент Visual Composer, если обновление невозможно. Дополнительно следует ограничить доступ к сервисам загрузки метаданных и тщательно отслеживать подозрительную активность.

Темы:SAPУгрозыReliaQuest
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...