Η Ενημερωμένη έκδοση της SAP για τον Μάιο του 2025 περιλαμβάνει μια επείγουσα ανανέωση της προηγουμένως εκδοθείσας επείγουσας επιδιόρθωσης για μια κρίσιμη ευπάθεια zero-day (CVE-2025-31324), η οποία συνεχίζει να γίνεται αντικείμενο ενεργής εκμετάλλευσης σε πολλούς κλάδους παγκοσμίως.
Δείτε επίσης: Η Play ransomware εκμεταλλεύεται ελάττωμα Windows σε επιθέσεις zero-day
Η έκδοση περιλαμβάνει 16 νέα Security Notes και 2 ενημερώσεις σε προγενέστερες σημειώσεις, με ιδιαίτερη έμφαση στην αντιμετώπιση της σοβαρής ευπάθειας στο SAP NetWeaver. Η κρίσιμη αυτή ευπάθεια, η οποία βαθμολογείται με τη μέγιστη δυνατή τιμή CVSS 10.0, επηρεάζει το στοιχείο διακομιστή ανάπτυξης Visual Composer του SAP NetWeaver (VCFRAMEWORK 7.50).
Αναφέρθηκε αρχικά από την εταιρεία ερευνών ασφάλειας ReliaQuest στις 22 Απριλίου 2025 και οδήγησε την SAP στην έκδοση επείγουσας επιδιόρθωσης στις 24 Απριλίου. Η σημερινή ενημέρωση ενισχύει την προστασία απέναντι σε εξελισσόμενες τεχνικές εκμετάλλευσης.
Η βασική αιτία του προβλήματος είναι ο ανεπαρκής έλεγχος ταυτοποίησης και εξουσιοδότησης στην εφαρμογή. Συγκεκριμένα, ο μηχανισμός Metadata Uploader δεν προστατεύεται επαρκώς όταν ένας μη αυθεντικοποιημένος χρήστης προσπαθεί να αξιοποιήσει κάποιες από τις λειτουργίες του.
Ερευνητές ασφαλείας διαπίστωσαν ότι η εκμετάλλευση της ευπάθειας ξεκίνησε ήδη από τις 20 Ιανουαρίου 2025, ενώ οι πρώτες πραγματικές προσπάθειες επίθεσης καταγράφηκαν γύρω στις 10 Φεβρουαρίου. Η ευπάθεια θεωρείται εξαιρετικά επικίνδυνη, καθώς επιτρέπει σε μη αυθεντικοποιημένους απομακρυσμένους επιτιθέμενους να ανεβάζουν αυθαίρετα αρχεία, συμπεριλαμβανομένων κακόβουλων εκτελέσιμων, οδηγώντας σε πλήρη παραβίαση του συστήματος. Έχουν παρατηρηθεί επιτιθέμενοι να ανεβάζουν JSP webshells με ονόματα όπως “helper.jsp” και “cache.jsp” για να εξασφαλίσουν επίμονη πρόσβαση στο σύστημα.
Δείτε ακόμα: Τι είναι οι επιθέσεις zero-click – πώς θα τις αποφύγετε
Η επίδραση της ευπάθειας εκτείνεται σε πολλούς τομείς, με τις εταιρείες Onapsis και Mandiant να επιβεβαιώνουν ότι «υπάρχει εκμετάλλευση σε διάφορους κλάδους και γεωγραφικές περιοχές, συμπεριλαμβανομένων επιβεβαιωμένων παραβιάσεων σε οργανισμούς ενέργειας και κοινής ωφέλειας, βιομηχανίας, μέσων ενημέρωσης και ψυχαγωγίας, πετρελαίου και φυσικού αερίου, φαρμακευτικών, λιανικής και κρατικών φορέων».
Αν και το SAP Visual Composer δεν εγκαθίσταται από προεπιλογή, η έρευνα δείχνει ότι είναι «εγκατεστημένο και ενεργό τουλάχιστον στο 50% των Java συστημάτων, με ενδείξεις ότι το ποσοστό αυτό μπορεί να φτάνει έως και το 70%». Αυτή η ευρεία χρήση έχει δημιουργήσει μια σημαντική επιφάνεια επίθεσης. Μέχρι τις 5 Μαΐου 2025, εταιρείες κυβερνοασφάλειας έχουν εντοπίσει «δεύτερο κύμα επιθέσεων από ευκαιριακούς επιτιθέμενους, οι οποίοι αξιοποιούν webshells που είχαν τοποθετηθεί κατά το πρώτο κύμα zero-day».
Οι οργανισμοί που εκτελούν το SAP NetWeaver συνιστάται να:
- Εφαρμόσουν αμέσως την ενημερωμένη έκδοση κώδικα (Σημείωση SAP #3594142).
- Εφαρμόσουν λύσεις που περιγράφονται στη Σημείωση SAP #3593336, εάν δεν είναι δυνατή η άμεση επιδιόρθωση.
- Διεξάγουν αξιολογήσεις παραβίασης για εκτεθειμένα συστήματα.
Δείτε επίσης: Apple: Διορθώνει δύο zero-day που εκμεταλλεύονται σε επιθέσεις iPhone
Βάσει των παραπάνω, γίνεται ξεκάθαρο ότι η συγκεκριμένη ευπάθεια στο SAP NetWeaver αποτελεί μια από τις πιο σοβαρές απειλές για επιχειρήσεις και οργανισμούς που βασίζονται σε Java-based SAP συστήματα. Η δυνατότητα απομακρυσμένων, μη αυθεντικοποιημένων επιτιθέμενων να αποκτούν πλήρη έλεγχο μέσω της μεταφόρτωσης κακόβουλων αρχείων, σε συνδυασμό με τη μεγάλη διάδοση του Visual Composer, εντείνει τον κίνδυνο.
Πηγή: cybersecuritynews
