В свободном доступе появился эксплойт, который последовательно использует две критические уязвимости в системах SAP NetWeaver, позволяя неаутентифицированному злоумышленнику получить полный контроль над системой. По данным компании Onapsis, занимающейся кибербезопасностью, это ставит под немедленный удар все корпоративные системы, на которых не установлены актуальные обновления безопасности.
Атака строится на комбинации двух уязвимостей. Первая, CVE-2025-31324, с максимальным рейтингом опасности CVSS 10.0, заключается в отсутствии проверки авторизации на сервере разработки Visual Composer. Она позволяет злоумышленнику обойти аутентификацию. Вторая, CVE-2025-42999, с рейтингом CVSS 9.1, является уязвимостью небезопасной десериализации в том же компоненте, которая используется для выполнения произвольного кода с повышенными привилегиями.
Механизм атаки двухэтапный. Сначала злоумышленник использует CVE-2025-31324, чтобы обойти систему безопасности и загрузить вредоносный файл на SAP-сервер. Затем, эксплуатируя CVE-2025-42999, он активирует процесс небезопасной десериализации, который распаковывает и выполняет загруженный код.
Получив доступ, атакующий может выполнять произвольные команды в операционной системе, загружать любые файлы и полностью захватывать целевую систему SAP, включая все бизнес-данные и процессы. Это также позволяет устанавливать веб-шеллы для обеспечения постоянного доступа и проводить атаки типа «жизнь за счёт земли» (LotL), используя легитимные системные инструменты. Все команды выполняются с привилегиями администратора SAP.
Хотя компания SAP выпустила исправления для этих уязвимостей в апреле и мае 2025 года, они эксплуатировались как уязвимости нулевого дня по меньшей мере с марта. Среди атакующих были замечены известные группы вымогателей, такие как Qilin, BianLian и RansomExx, а также несколько кибершпионских группировок, связанных с Китаем.
Публикация самого эксплойта произошла на прошлой неделе. По данным ресурса vx-underground, ответственность за его выпуск взяла на себя группа Scattered Lapsus$ Hunters. Эта группа описывается как «новый гибкий альянс», сформированный участниками известных хакерских коллективов Scattered Spider и ShinyHunters.
Специалисты Onapsis предупреждают, что использованный в атаке метод десериализации, известный как «гаджет», представляет особую опасность. Он может быть повторно использован для эксплуатации других, схожих по своей природе уязвимостей. Это расширяет потенциальную поверхность атаки далеко за пределы двух первоначальных недостатков.
Под угрозой могут оказаться и другие уязвимости, исправленные SAP в июле. Среди них CVE-2025-30012 (CVSS 10.0), а также CVE-2025-42963, CVE-2025-42964, CVE-2025-42966 и CVE-2025-42980, каждая из которых имеет рейтинг опасности CVSS 9.1.
Для защиты систем компания Onapsis рекомендует администраторам SAP предпринять три неотложных шага. Во-первых, немедленно применить последние исправления безопасности, выпущенные SAP. Во-вторых, пересмотреть и максимально ограничить доступ к приложениям SAP из интернета. В-третьих, вести постоянный мониторинг систем на предмет подозрительной активности и признаков компрометации.
Изображение носит иллюстративный характер
Атака строится на комбинации двух уязвимостей. Первая, CVE-2025-31324, с максимальным рейтингом опасности CVSS 10.0, заключается в отсутствии проверки авторизации на сервере разработки Visual Composer. Она позволяет злоумышленнику обойти аутентификацию. Вторая, CVE-2025-42999, с рейтингом CVSS 9.1, является уязвимостью небезопасной десериализации в том же компоненте, которая используется для выполнения произвольного кода с повышенными привилегиями.
Механизм атаки двухэтапный. Сначала злоумышленник использует CVE-2025-31324, чтобы обойти систему безопасности и загрузить вредоносный файл на SAP-сервер. Затем, эксплуатируя CVE-2025-42999, он активирует процесс небезопасной десериализации, который распаковывает и выполняет загруженный код.
Получив доступ, атакующий может выполнять произвольные команды в операционной системе, загружать любые файлы и полностью захватывать целевую систему SAP, включая все бизнес-данные и процессы. Это также позволяет устанавливать веб-шеллы для обеспечения постоянного доступа и проводить атаки типа «жизнь за счёт земли» (LotL), используя легитимные системные инструменты. Все команды выполняются с привилегиями администратора SAP.
Хотя компания SAP выпустила исправления для этих уязвимостей в апреле и мае 2025 года, они эксплуатировались как уязвимости нулевого дня по меньшей мере с марта. Среди атакующих были замечены известные группы вымогателей, такие как Qilin, BianLian и RansomExx, а также несколько кибершпионских группировок, связанных с Китаем.
Публикация самого эксплойта произошла на прошлой неделе. По данным ресурса vx-underground, ответственность за его выпуск взяла на себя группа Scattered Lapsus$ Hunters. Эта группа описывается как «новый гибкий альянс», сформированный участниками известных хакерских коллективов Scattered Spider и ShinyHunters.
Специалисты Onapsis предупреждают, что использованный в атаке метод десериализации, известный как «гаджет», представляет особую опасность. Он может быть повторно использован для эксплуатации других, схожих по своей природе уязвимостей. Это расширяет потенциальную поверхность атаки далеко за пределы двух первоначальных недостатков.
Под угрозой могут оказаться и другие уязвимости, исправленные SAP в июле. Среди них CVE-2025-30012 (CVSS 10.0), а также CVE-2025-42963, CVE-2025-42964, CVE-2025-42966 и CVE-2025-42980, каждая из которых имеет рейтинг опасности CVSS 9.1.
Для защиты систем компания Onapsis рекомендует администраторам SAP предпринять три неотложных шага. Во-первых, немедленно применить последние исправления безопасности, выпущенные SAP. Во-вторых, пересмотреть и максимально ограничить доступ к приложениям SAP из интернета. В-третьих, вести постоянный мониторинг систем на предмет подозрительной активности и признаков компрометации.
