Savremene sajber prijetnje: Zero Day u SAP NetWeaver

Prijetnje koje su se relativno skoro pojavile podsjećaju nas da čekanje na reakciju više nije opcija, jer svako odlaganje napadačima daje prednost.

Nažalost, više napadačima nisu potrebne rijetke i razvijene vještine kako bi probili nečiju odbranu već u tu svrhu koriste moćne alate koji obavljaju veći dio posla – od phishing paketa sa vještačkom inteligencijom do velikih bot mreža spremnih za napad. Pri tome nisu na meti samo velike korporacije kako bi se to u prvi mah moglo pomisliti. Drugim riječima, baš svako može postati meta napada kada se koriste lažni identiteti, hakovana infrastruktura i razni trikovi „insajdera“.

Kritična ranjivost nultog dana u SAP NetWeaver-u (CVE-2025-31324, CVSS ocjena 10,00) aktivno se zloupotrebljava od strane nepoznatih napadača. Oni koriste JSPweb školjke kako bi omogućili neovlašćeno otpremanje fajlova I izvršavanje koda. Napadi takođe uključuju korišćenje alata za post-eksploataciju Brute Ratel C4, kao I poznate tehnike “Heavens Gate” za zaobilaženje zaštite na krajnjim tačkama.

CVE-2025-31324 predstavlja ranjivost u SAP NetWeaver Visual Composer komponenti Metadata Uploader koja omogućava neautentifikovanom napadaču da otpremi zlonamjerne fajlove I na taj način izvrši maliciozni kod na sistemu. Problem se sastoji u nedostatku provjere na /developmentserver/metadatauploader. Ova ranjivost je već korišćena u praksi (Zero Day napadi) za postavljanje Web shell-ova koji služe za dalju kontrolu sistema i širenje malvera.

CVE-2025-42999 je ranjivost u deserializaciji (proces u kojem se podaci sačuvani u nekom formatu pretvaraju nazad u objekat koji softver može da koristi), takođe u SAP NetWeaver Visual Composer Development serveru. Napadač sa autentifikacijom može je iskoristiti za izvršenje koda na pogođenim sistemima. Ova ranjivost je otkrivena tokom istrage ranjivosti CVE-2025-31324 i SAP ju je zakrpio u maju 2025.

Napadi na ove ranjivosti su u porastu a više grupa povezanih sa APT (Advance Persistent Threat) I ransomware napadima aktivno koristi CVE-2025-31324. Do momenta objave izvornog teksta o ovoj ranjivosti nije postojao javno dostupan dokaz koncepta (PoC) za CVE-2025-31324, ali su kasnije objavljeni alati i PoC kodovi na Git hubu.

Rješenje: SAP je objavio zakrpe za pogođene verzije NetWeaver-a, uključujući sigurnosne napomene #3594142 i #3604119 koje treba što prije instalirati kako bi se sistemi zaštitili od ovih ranjivosti. Za identifikaciju ugroženih sistema mogu se koristiti Tenable  plugin ovi I Tenable Attack Surface Management alati. 

Izvor:CVE-2025-31324: Zero-Day Vulnerability in SAP NetWeaver Exploited in the Wild - Blog | Tenable®