Критическая уязвимость в SAP NetWeaver, обозначенная как CVE-2025-31324, активно эксплуатируется несколькими хакерскими группами, связанными с Китаем. Эта брешь в безопасности позволяет злоумышленникам загружать файлы без аутентификации, что открывает возможность для удаленного выполнения кода (RCE).
Исследователи обнаружили сервер с IP-адресом 15.204.56.106, контролируемый атакующими, на котором находился открытый каталог с журналами событий от скомпрометированных систем. Среди найденных файлов был документ "CVE-2025-31324-results.txt", содержащий информацию о 581 взломанном экземпляре SAP NetWeaver, а также файл "服务数据_20250427_212229.txt", в котором перечислены 800 доменов, работающих на SAP NetWeaver и потенциально уязвимых для атак.
В эксплуатации уязвимости участвуют несколько хакерских групп китайского происхождения. Группа UNC5221 использует вредоносное ПО KrustyLoader, написанное на языке Rust, для доставки вторичных полезных нагрузок, таких как Sliver. UNC5174 применяет загрузчик SNOWLIGHT для получения VShell (RAT на основе Go) и бэкдора GOREVERSE.
Группа CL-STA-0048 устанавливает обратную оболочку на IP 43.247.135.53. Ранее эта группа была связана с атаками в Южной Азии и известна эксплуатацией уязвимостей в IIS, Apache Tomcat и MS-SQL. Они развертывают веб-оболочки, обратные оболочки и бэкдор PlugX. Еще одна группа, условно названная Chaya_004, также эксплуатирует эту уязвимость и использует SuperShell — обратную оболочку на основе Go.
Среди целей атак — сети распределения природного газа и предприятия по управлению водными ресурсами и отходами в Великобритании, заводы по производству медицинского оборудования и компании по разведке и добыче нефти и газа в США, а также правительственные министерства Саудовской Аравии, отвечающие за инвестиционную стратегию и финансовое регулирование.
Исследование проведено Ардой Бююккая из компании EclecticIQ. Компания Onapsis, специализирующаяся на безопасности SAP, сообщила, что некоторые злоумышленники используют веб-оболочки, размещенные первоначальными атакующими, для проведения собственных атак.
Помимо CVE-2025-31324, была обнаружена новая уязвимость — CVE-2025-42999 с оценкой CVSS 9.1. Это уязвимость десериализации в компоненте Visual Composer М⃰data Uploader платформы NetWeaver, которая может позволить привилегированным пользователям загружать вредоносный контент.
SAP выпустила патч для новой уязвимости NetWeaver в мае 2025 года. Учитывая активную эксплуатацию уязвимостей, клиентам
Изображение носит иллюстративный характер
Исследователи обнаружили сервер с IP-адресом 15.204.56.106, контролируемый атакующими, на котором находился открытый каталог с журналами событий от скомпрометированных систем. Среди найденных файлов был документ "CVE-2025-31324-results.txt", содержащий информацию о 581 взломанном экземпляре SAP NetWeaver, а также файл "服务数据_20250427_212229.txt", в котором перечислены 800 доменов, работающих на SAP NetWeaver и потенциально уязвимых для атак.
В эксплуатации уязвимости участвуют несколько хакерских групп китайского происхождения. Группа UNC5221 использует вредоносное ПО KrustyLoader, написанное на языке Rust, для доставки вторичных полезных нагрузок, таких как Sliver. UNC5174 применяет загрузчик SNOWLIGHT для получения VShell (RAT на основе Go) и бэкдора GOREVERSE.
Группа CL-STA-0048 устанавливает обратную оболочку на IP 43.247.135.53. Ранее эта группа была связана с атаками в Южной Азии и известна эксплуатацией уязвимостей в IIS, Apache Tomcat и MS-SQL. Они развертывают веб-оболочки, обратные оболочки и бэкдор PlugX. Еще одна группа, условно названная Chaya_004, также эксплуатирует эту уязвимость и использует SuperShell — обратную оболочку на основе Go.
Среди целей атак — сети распределения природного газа и предприятия по управлению водными ресурсами и отходами в Великобритании, заводы по производству медицинского оборудования и компании по разведке и добыче нефти и газа в США, а также правительственные министерства Саудовской Аравии, отвечающие за инвестиционную стратегию и финансовое регулирование.
Исследование проведено Ардой Бююккая из компании EclecticIQ. Компания Onapsis, специализирующаяся на безопасности SAP, сообщила, что некоторые злоумышленники используют веб-оболочки, размещенные первоначальными атакующими, для проведения собственных атак.
Помимо CVE-2025-31324, была обнаружена новая уязвимость — CVE-2025-42999 с оценкой CVSS 9.1. Это уязвимость десериализации в компоненте Visual Composer М⃰data Uploader платформы NetWeaver, которая может позволить привилегированным пользователям загружать вредоносный контент.
SAP выпустила патч для новой уязвимости NetWeaver в мае 2025 года. Учитывая активную эксплуатацию уязвимостей, клиентам
