Gli attori delle minacce stanno probabilmente sfruttando una nuova vulnerabilità in SAP NetWeaver per caricare shell Net JSP con l’obiettivo di facilitare i caricamenti di file non autorizzati e l’esecuzione del codice.
“Lo sfruttamento è probabilmente legato a una vulnerabilità precedentemente divulgata come CVE-2017-9844 o un problema di inclusione dei file remoti non segnalati (RFI), “affidabile disse In un rapporto pubblicato questa settimana.
La sicurezza informatica ha affermato che la possibilità di un giorno zero deriva dal fatto che molti dei sistemi colpiti stavano già eseguendo le ultime patch.
Si valuta il difetto per essere radicato nell’endpoint “/sviluppeserver/metadatauploader” nell’ambiente di NetWeaver, consentendo agli attori delle minacce sconosciute di caricare gusci Net basati su JSP dannosi nelle “servlet_jsp/IRJ/root/” percorso per l’accesso remoto persistente.
Innanziosamente, la shell Net JSP leggera è configurata per caricare file non autorizzati, abilitare il controllo radicato sugli host infetti, eseguire codice remoto e dati sensibili al sifone.
Selezionare gli incidenti sono stati osservati usando il Brute Ratel C4 Framework post-sfruttamento, nonché una tecnica ben nota chiamata Porta del paradiso bypassare le protezioni endpoint.
Almeno in un caso, gli attori della minaccia hanno impiegato diversi giorni per progredire dall’accesso iniziale di successo allo sfruttamento successivo, aumentando la possibilità che l’attaccante possa essere un dealer di accesso iniziale (IAB) che sta ottenendo e vendendo l’accesso advert altri gruppi di minacce sui discussion board sotterranei.
“La nostra indagine ha rivelato uno schema preoccupante, suggerendo che gli avversari stanno sfruttando un exploit noto e lo abbinano a un combine di tecniche in evoluzione per massimizzare il loro impatto”, ha affermato Reliaquest.
“Le soluzioni SAP sono spesso utilizzate dalle agenzie governative e dalle imprese, rendendole obiettivi di alto valore per aggressori. Poiché le soluzioni SAP vengono spesso distribuite on-pre-premesse, le misure di sicurezza per questi sistemi vengono lasciate agli utenti; aggiornamenti e patch che non vengono prontamente applicate è probabile che esporranno questi sistemi a un rischio maggiore di compromesso.”
Per coincidenza, SAP ha anche rilasciato Un aggiornamento per affrontare un difetto di sicurezza della gravità massima (CVE-2025-31324, punteggio CVSS: 10.0) che un utente malintenzionato potrebbe sfruttare per caricare file arbitrari.
“SAP NetWeaver Visible Composer Metadata Caricatore non è protetto con una corretta autorizzazione, che consente a un agente non autenticato di caricare binari eseguibili potenzialmente dannosi che potrebbero danneggiare gravemente il sistema host” consultivo per le letture della vulnerabilità.
È probabile che CVE-2025-31324 si riferisca allo stesso difetto di sicurezza non segnalato dato che il primo influisce anche il componente del caricatore dei metadati.
La divulgazione arriva poco più di un mese dopo l’Agenzia per la sicurezza informatica e delle infrastrutture degli Stati Uniti (CISA) avvertito dello sfruttamento attivo di un altro difetto di NetWeaver advert alta grave (CVE-2017-12637) che potrebbe consentire a un utente malintenzionato di ottenere file di configurazione SAP sensibili.
Aggiornamento
Affiliaquest ha confermato a Hacker Information che l’attività dannosa sopra dettagliata sta effettivamente sfruttando una nuova vulnerabilità di sicurezza che ora viene monitorata come CVE-2025-31324.
“Questa vulnerabilità, che abbiamo identificato durante la nostra indagine pubblicata il 22 aprile 2025, è stata inizialmente sospettata di essere un problema di inclusione dei file remoti (RFI)”, ha affermato la società. “Tuttavia, SAP in seguito lo ha confermato come un file senza restrizioni caricare la vulnerabilità, consentendo agli aggressori di caricare file dannosi direttamente sul sistema senza autorizzazione.”
In un rapporto separato, la società di sicurezza SAP Onapsis ha affermato che la vulnerabilità è sfruttabile tramite HTTP/HTTPS, consentendo agli aggressori di inviare richieste di put up accuratamente elaborate che mirano all’endpoint “/Developmentserver/metadatauplader” senza richiedere alcuna autenticazione.
“Lo sfruttamento avviene tramite una richiesta put up al componente vulnerabile”, Onapsis CTO JP Perez-Etchegoyen disse. “Dopo uno sfruttamento riuscito, gli attori delle minacce sono in grado di caricare file arbitrari. Gli attori delle minacce sono stati osservati caricare shell Net su sistemi vulnerabili.”
Le shell Net concedono all’attore minaccia la capacità di eseguire comandi arbitrari nel contesto di sistema, con i privilegi del
“Con
Si consiglia agli utenti di verificare la presenza dei seguenti indicatori di compromesso (IOC) per determinare se sono stati interessati –
- C: usr sap
j2ee cluster apps sap.com irj servlet_jsp irj root - C: usr sap
j2ee cluster apps sap.com irj servlet_jsp irj work - C: usr sap
j2ee cluster apps sap.com irj servlet_jsp irj work sync
(La storia è stata aggiornata dopo la pubblicazione per confermare lo sfruttamento di un nuovo difetto zero-day e ulteriori dettagli condivisi da Onapsis.)
