Ομάδες ransomware έχουν αρχίσει να εκμεταλλεύονται ενεργά μια σοβαρή ευπάθεια στο SAP NetWeaver, προκειμένου να αποκτήσουν απομακρυσμένη πρόσβαση και έλεγχο σε ευάλωτα συστήματα.
Η SAP είχε κυκλοφορήσει επείγουσες ενημερώσεις στις 24 Απριλίου, για να διορθώσει το εν λόγω κενό ασφαλείας που παρακολουθείται ως CVE-2025-31324. Πρόκειται για μια κρίσιμη αδυναμία στο NetWeaver Visual Composer, που επιτρέπει μη εξουσιοδοτημένη μεταφόρτωση αρχείων. Η ReliaQuest είχε ήδη καταγράψει στοχευμένες επιθέσεις πριν από την επίσημη δημοσίευση των patches.
Η ευπάθεια αυτή δίνει τη δυνατότητα σε επιτιθέμενους να ανεβάσουν κακόβουλα αρχεία σε διακομιστές SAP χωρίς να απαιτούνται διαπιστευτήρια πρόσβασης, αυξάνοντας δραματικά τον κίνδυνο πλήρους παραβίασης του συστήματος.
Δείτε επίσης: DoppelPaymer ransomware: Σύλληψη υπόπτου στη Μολδαβία
Σε νεότερη ανάλυση, η ReliaQuest επιβεβαιώνει ότι και οι ομάδες ransomware RansomEXX και BianLian έχουν αρχίσει να εκμεταλλεύονται αυτή την ευπάθεια στο SAP NetWeaver. Αν και δεν έχει παρατηρηθεί, ακόμα, επιτυχημένη ανάπτυξη ransomware payloads, το ενδιαφέρον των ομάδων για την εκμετάλλευση της ευπάθειας είναι ανησυχητικό.
Μάλιστα, οι αναλυτές συνέδεσαν τη ρωσική BianLian με τουλάχιστον ένα περιστατικό εκμετάλλευσης της ευπάθειας, βασιζόμενοι σε IP που είχε χρησιμοποιηθεί και στο παρελθόν από τη συμμορία.
Στις επιθέσεις του RansomEXX ransomware, οι δράστες ανέπτυξαν το PipeMagic modular backdoor και εκμεταλλεύτηκαν την ευπάθεια CVE-2025-29824 του Windows CLFS.
“Το κακόβουλο λογισμικό αναπτύχθηκε λίγες ώρες μετά την παγκόσμια εκμετάλλευση που περιελάμβανε τα helper.jsp και cache.jsp webshells.. Αν και η αρχική προσπάθεια απέτυχε, μια επακόλουθη επίθεση αφορούσε την ανάπτυξη του Brute Ratel C2 framework χρησιμοποιώντας inline MSBuild task execution“, πρόσθεσε η ReliaQuest.
Κινέζοι hackers στοχεύουν επίσης την ευπάθεια στο SAP NetWeaver
Η Forescout Vedere Labs κατέγραψε παράλληλη δραστηριότητα και από την κινεζική ομάδα Chaya_004. Επιπλέον, η EclecticIQ ανέφερε ότι τουλάχιστον τρεις κινεζικές APT ομάδες (UNC5221, UNC5174 και CL-STA-0048) έχουν στοχεύσει ενεργά την ίδια ευπάθεια στο SAP NetWeaver.
Δείτε επίσης: Hackers κρύβουν ransomware σε εικόνες JPG
Από δεδομένα που εντοπίστηκαν σε δημόσια προσβάσιμο κατάλογο διακομιστή των επιτιθέμενων, οι αναλυτές της Forescout εκτιμούν ότι οι εισβολείς έχουν ήδη αποκτήσει πρόσβαση σε πάνω από 580 SAP NetWeaver instances – ανάμεσά τους βρίσκονται κρίσιμες υποδομές σε ΗΠΑ, Ηνωμένο Βασίλειο και Σαουδική Αραβία.
Η διατήρηση πρόσβασης (μέσω backdoor) σε τέτοια περιβάλλοντα επιτρέπει σε ομάδες APT που συνδέονται με το Πεκίνο να εξυπηρετούν πιθανώς στρατηγικούς στόχους της Λαϊκής Δημοκρατίας της Κίνας (σε στρατιωτικό, πληροφοριακό ή οικονομικό επίπεδο).
Η σύνδεση SAP με ICS δίκτυα εντείνει τους φόβους για κατασκοπεία
Η εκτεταμένη σύνδεση παραβιασμένων συστημάτων SAP NetWeaver με τα εσωτερικά δίκτυα βιομηχανικού ελέγχου (ICS) δημιουργεί σοβαρούς κινδύνους lateral movement, σύμφωνα με ειδικούς κυβερνοασφάλειας. Η διασύνδεση αυτή αυξάνει την πιθανότητα διακοπής κρίσιμων υπηρεσιών, αλλά και μακροχρόνιας κατασκοπευτικής δραστηριότητας, η οποία μπορεί να παραμείνει αόρατη για μήνες ή και χρόνια.
Νέα ευπάθεια στο SAP NetWeaver
Αξίζει να σημειωθεί ότι η SAP διόρθωσε και μια δεύτερη ευπάθεια στο NetWeaver (CVE-2025-42999), η οποία χρησιμοποιήθηκε, επίσης, από επιτιθέμενους ως zero-day. Το συγκεκριμένο κενό επιτρέπει την απομακρυσμένη εκτέλεση εντολών, προσφέροντας στους εισβολείς πλήρη έλεγχο του στοχευμένου συστήματος.
Κρίσιμες συστάσεις προς διαχειριστές SAP
Οι ειδικοί συνιστούν στους διαχειριστές SAP να εφαρμόσουν άμεσα τις διαθέσιμες ενημερώσεις ασφαλείας στους διακομιστές NetWeaver. Στις περιπτώσεις όπου δεν είναι εφικτή η αναβάθμιση, προτείνεται η απενεργοποίηση της υπηρεσίας Visual Composer. Επίσης, συστήνεται περιορισμός της πρόσβασης στη λειτουργία μεταφόρτωσης μεταδεδομένων και εντατική παρακολούθηση για ύποπτη δραστηριότητα.
Δείτε επίσης: Το νέο Mamona ransomware στοχεύει Windows συστήματα
Γενικά, η διατήρηση μιας στιβαρής στάσης ασφαλείας είναι ζωτικής σημασίας για την άμυνα έναντι εκμεταλλεύσεων ευπαθειών. Αυτό περιλαμβάνει την ενσωμάτωση πολλαπλών επιπέδων άμυνας, συμπεριλαμβανομένων των συστημάτων ανίχνευσης και πρόληψης εισβολής (IDPS), της τμηματοποίησης δικτύου και της συνεχούς παρακολούθησης για ύποπτες δραστηριότητες.
Επιπλέον, η επένδυση στην εκπαίδευση των εργαζομένων για την αναγνώριση προσπαθειών phishing και άλλων επιθέσεων social engineering μπορεί να μειώσει περαιτέρω την πιθανότητα παραβίασης συστημάτων.
Δίνοντας προτεραιότητα σε στρατηγικές προληπτικής άμυνας παράλληλα με την ταχεία επιδιόρθωση, οι οργανισμοί μπορούν να ενισχύσουν σημαντικά την ανθεκτικότητά τους έναντι τέτοιων απειλών και να προστατεύσουν την υποδομή τους από προηγμένες επιθέσεις στον κυβερνοχώρο.
Πηγή: www.bleepingcomputer.com
