Az SAP közzétette a CVE-2025-31324 azonosítójú hitelesítést nem igénylő fájlfeltöltési (unauthenticated file upload) sérülékenységet, amely az SAP NetWeaver Visual Composer, azon belül is a Metadata Uploader komponensét érinti.
Az SAP NetWeaver egy alkalmazás szerver és fejlesztői platform, amely különböző technológiákon futó SAP- és nem SAP-alkalmazásokat működtet és kapcsol össze.
A sebezhetőség lehetővé teszi távoli támadók számára, hogy hitelesítés nélkül tetszőleges futtatható fájlokat töltsenek fel az interneten elérhető példányokra, ezáltal code execution-t (kódfuttatást) és a rendszer teljes kompromittálását érhetik el.
Számos kiberbiztonsági cég, köztük a ReliaQuest, a watchTowr és az Onapsis is megerősítette, hogy a sérülékenységet aktívan kihasználják a támadások során, ahol a fenyegetés szereplők webshell-eket helyeznek el a sebezhető szervereken. Az SAP 2025. április 25-én kiadott egy biztonsági frissítést a CVE-2025-31324 azonosítójú sérülékenység kezelésére.
A kutatók megerősítették, hogy sok sebezhető SAP Netweaver szerver elérhető az interneten, így elsődleges célpontokká válnak a támadások során. A Shadowserver Foundation 427 olyan szervert azonosított, amelyek nyilvánosan elérhető és sebezhető. A legtöbb sérülékeny rendszer az Egyesült Államokban található (149), ezt követi India (50), Ausztrália (37), Kína (31), Németország (30), Hollandia (13), Brazília (10) és Franciaország (10).
Az Onyphe kibervédelmi keresőmotor jelentése szerint a sérülékeny SAP NetWeaver szerverek száma jóval magasabb lehet, mint azt korábban feltételezték. Becslésük alapján összesen 1284 ilyen rendszer érhető el nyilvánosan az interneten, és ezek közül legalább 474-et már kompromittáltak a támadók, jellemzően webshell telepítésével. A támadók olyan elnevezésű webshell-eket telepítenek, mint például a „cache.jsp” vagy a „helper.jsp”, de gyakran teljesen véletlenszerű fájlneveket is alkalmaznak, ami jelentősen megnehezíti a sebezhető NetWeaver szerverek azonosítását és célzott felderítését.
A kockázat csökkentése érdekében javasolt a legújabb biztonsági frissítés telepítése a gyártó által kiadott tájékoztatóban foglalt utasításokat követve.
Amennyiben a frissítés alkalmazása nem lehetséges, az alábbi intézkedések javasoltak:
- A /developmentserver/metadatauploader végpont elérésének korlátozása.
- Ha a Visual Composer nincs használatban, érdemes teljesen kikapcsolni.
- A naplófájlok továbbítása SIEM rendszerbe, valamint jogosulatlan fájlok keresése a servlet útvonalon.
A RedRays kiadott egy szkennert is a CVE-2025-31324-hez, amely segíthet a kockázatok azonosításában.
Az SAP közlése szerint jelenleg nincs információjuk arról, hogy a sérülékenység aktív kihasználása során bármilyen ügyféladat vagy vállalati rendszer tényleges kompromittálódása történt volna.