Πάνω από 1.200 εκτεθειμένα στο διαδίκτυο instances του SAP NetWeaver είναι ευάλωτα σε ένα ελάττωμα μέγιστης σοβαρότητας, που επιτρέπει την μη πιστοποιημένη αποστολή αρχείων και αξιοποιείται ήδη ενεργά από επιτιθέμενους για την κατάληψη servers.
Δείτε επίσης: Η ASUS διορθώνει ευπάθεια AMI που επιτρέπει παραβίαση servers
Το SAP NetWeaver είναι ένας διακομιστής εφαρμογών και πλατφόρμα ανάπτυξης, που εκτελεί και διασυνδέει εφαρμογές SAP και μη SAP σε διάφορες τεχνολογίες.
Την περασμένη εβδομάδα, η SAP αποκάλυψε ένα ελάττωμα που επιτρέπει την μη πιστοποιημένη αποστολή αρχείων, με τον κωδικό CVE-2025-31324, στο SAP NetWeaver Visual Composer, και συγκεκριμένα στο στοιχείο Metadata Uploader. Το συγκεκριμένο κενό ασφαλείας επιτρέπει σε απομακρυσμένους επιτιθέμενους να ανεβάζουν αυθαίρετα εκτελέσιμα αρχεία σε εκτεθειμένα συστήματα χωρίς καμία πιστοποίηση, επιτυγχάνοντας εκτέλεση κώδικα και πλήρη παραβίαση του συστήματος.
Πολλαπλές εταιρείες κυβερνοασφάλειας, όπως οι ReliaQuest, watchTowr και Onapsis, επιβεβαίωσαν ότι το ελάττωμα αξιοποιείται ήδη ενεργά σε επιθέσεις, με τους κυβερνοεγκληματίες να εγκαθιστούν web shells σε ευάλωτους servers.
Εκπρόσωπος της SAP δήλωσε στο BleepingComputer ότι η εταιρεία γνώριζε για τις προσπάθειες αυτές και είχε δημοσιεύσει προσωρινή λύση στις 8 Απριλίου 2024, ενώ στις 25 Απριλίου κυκλοφόρησε αναβάθμιση ασφαλείας που αντιμετωπίζει το CVE-2025-31324.
Η SAP ανέφερε επίσης στο BleepingComputer ότι μέχρι στιγμής δεν έχει εντοπιστεί καμία περίπτωση όπου οι επιθέσεις αυτές να έχουν επηρεάσει δεδομένα ή συστήματα πελατών. Ερευνητές επιβεβαίωσαν πλέον ότι πολλοί ευάλωτοι εξυπηρετητές SAP NetWeaver είναι εκτεθειμένοι στο διαδίκτυο, γεγονός που τους καθιστά κύριους στόχους για κυβερνοεπιθέσεις.
Δείτε ακόμα: Σφάλμα επανεκκίνησης του Windows Server 2025
Το Shadowserver Foundation εντόπισε 427 εκτεθειμένους εξυπηρετητές, προειδοποιώντας για τον τεράστιο επιφανειακό χώρο επίθεσης και τις πιθανές σοβαρές συνέπειες από την εκμετάλλευση του ελαττώματος.
Η πλειονότητα των ευάλωτων συστημάτων (149) εντοπίζεται στις Ηνωμένες Πολιτείες, ακολουθούμενες από την Ινδία (50), την Αυστραλία (37), την Κίνα (31), τη Γερμανία (30), την Ολλανδία (13), τη Βραζιλία (10) και τη Γαλλία (10). Ωστόσο, η μηχανή αναζήτησης κυβερνοάμυνας Onyphe δίνει μια ακόμη πιο ανησυχητική εικόνα, δηλώνοντας στο BleepingComputer ότι υπάρχουν συνολικά 1.284 ευάλωτοι εξυπηρετητές εκτεθειμένοι στο διαδίκτυο, εκ των οποίων οι 474 έχουν ήδη παραβιαστεί με την εγκατάσταση webshells.
Οι ερευνητές ανέφεραν ότι οι επιτιθέμενοι χρησιμοποιούν webshells με ονόματα όπως “cache.jsp” και “helper.jsp“. Ωστόσο, σύμφωνα με τη Nextron Research, χρησιμοποιούνται επίσης τυχαία ονόματα αρχείων, γεγονός που καθιστά δυσκολότερο τον εντοπισμό ευάλωτων instances του SAP NetWeaver.
Αν και ο αριθμός των εκτεθειμένων εξυπηρετητών δεν είναι τεράστιος, ο κίνδυνος παραμένει σημαντικός, καθώς το SAP NetWeaver χρησιμοποιείται ευρέως από μεγάλες επιχειρήσεις και πολυεθνικές εταιρείες.
Δείτε επίσης: Ευπάθειες στο Rsync επιτρέπουν πλήρη έλεγχο των server
Για την αντιμετώπιση του κινδύνου, συνιστάται η άμεση εφαρμογή της τελευταίας ενημέρωσης ασφαλείας, ακολουθώντας τις οδηγίες του κατασκευαστή που περιλαμβάνονται στο σχετικό ενημερωτικό δελτίο.
Βάσει των παραπάνω, προκύπτει ότι το ελάττωμα CVE-2025-31324 στο SAP NetWeaver συνιστά μια από τις πιο σοβαρές απειλές για την επιχειρησιακή ασφάλεια το 2024-2025, καθώς:
- Αξιοποιείται ήδη ενεργά από επιτιθέμενους, χωρίς να απαιτείται πιστοποίηση.
- Επιτρέπει την απομακρυσμένη εκτέλεση κώδικα και πλήρη έλεγχο του συστήματος.
- Επηρεάζει κρίσιμες εγκαταστάσεις σε μεγάλους οργανισμούς, με διαπιστωμένες παραβιάσεις σε εκατοντάδες servers.
Αυτό υπογραμμίζει τη σημασία της άμεσης και τακτικής ενημέρωσης των συστημάτων, ειδικά όταν πρόκειται για βασικές επιχειρησιακές υποδομές όπως τα SAP.
Πηγή: bleepingcomputer
