Недавние события в мире кибербезопасности привлекли внимание к уязвимости CVE-2025-31324 в SAP NetWeaver, которая открывает двери для атакующих. Эта уязвимость затрагивает инструмент Visual Composer и позволяет неавторизованным пользователям загружать вредоносные файлы и выполнять команды с административными правами.
SAP выпустила экстренный патч 24 апреля 2025 года, однако многие компании, такие как ReliaQuest и Mandiant, уже зафиксировали вторжения, начавшиеся еще в марте. Исследования показывают, что злоумышленники использовали веб-оболочки, установленные в первой волне атак, чтобы продолжить свои действия. Это подтверждает теорию о том, что первоначальные атакующие могли быть брокерами доступа.
Специалисты из Forescout также обнаружили инфраструктуру, используемую одним из новых злоумышленников, и отметили, что использование китайских облачных провайдеров и инструментов указывает на возможное происхождение атакующего из Китая.
Администраторам систем настоятельно рекомендуется установить патч от SAP или ограничить доступ к компоненту Metadata Uploader, если обновление невозможно. Однако важно помнить, что отключение интернет-доступа не является полноценным решением проблемы. Злоумышленники могут использовать автоматизированные инструменты для эксплуатации уязвимости даже внутри сети.
Кроме того, необходимо отключить неиспользуемые веб-сервисы, такие как Visual Composer, и удалить ненужные приложения. Организациям следует провести расследование, чтобы выяснить, были ли их системы SAP NetWeaver скомпрометированы. Mandiant и Onapsis предоставили открытый сканер для выявления признаков компрометации, но предупреждают, что даже отрицательный результат не гарантирует отсутствие вторжения, так как опытные злоумышленники могут скрывать свои действия.
В условиях растущих угроз кибербезопасности важно, чтобы организации адаптировали свои планы реагирования на инциденты, учитывая новые методы атак.