Савремене сајбер пријетње: Zero Day у SAP NetWeaver

Пријетње које су се релативно скоро појавиле подсјећају нас да чекање на реакцију више није опција, јер свако одлагање нападачима даје предност.

Нажалост, више нападачима нису потребне ријетке и развијене вјештине како би пробили нечију одбрану већ у ту сврху користе моћне алате који обављају већи дио посла – од пхисхинг пакета са вјештачком интелигенцијом до великих бот мрежа спремних за напад. При томе нису на мети само велике корпорације како би се то у први мах могло помислити. Другим ријечима, баш свако може постати мета напада када се користе лажни идентитети, хакована инфраструктура и разни трикови „инсајдера“.

Критична рањивост нултог дана у SAP NetWeaver-у (CVE-2025-31324, CVSS оцјена 10,00) активно се злоупотребљава од стране непознатих нападача. Они користе JSPweb шкољке како би омогућили неовлашћено отпремање фајлова И извршавање кода. Напади такође укључују коришћење алата за пост-експлоатацију Brute Ratel C4, као И познате технике “Heavens Gate” за заобилажење заштите на крајњим тачкама.

CVE-2025-31324 представља рањивост у SAP NetWeaver Visual Composer компоненти Metadata Uploader која омогућава неаутентификованом нападачу да отпреми злонамјерне фајлове И на тај начин изврши малициозни код на систему. Проблем се састоји у недостатку провјере на /developmentserver/metadatauploader. Ова рањивост је већ коришћена у пракси (Zero Day напади) за постављање Web shell-ова који служе за даљу контролу система и ширење малвера.

CVE-2025-42999 је рањивост у десериализацији (процес у којем се подаци сачувани у неком формату претварају назад у објекат који софтвер може да користи), такође у SAP NetWeaver Visual Composer Development серверу. Нападач са аутентификацијом може је искористити за извршење кода на погођеним системима. Ова рањивост је откривена током истраге рањивости CVE-2025-31324 и SAP ју је закрпио у мају 2025.

Напади на ове рањивости су у порасту а више група повезаних са APT (Advance Persistent Threat) И ransomware нападима активно користи CVE-2025-31324. До момента објаве изворног текста о овој рањивости није постојао јавно доступан доказ концепта (PoC) за CVE-2025-31324, али су касније објављени алати и PoC кодови на Git hubу.

Рјешење: SAP је објавио закрпе за погођене верзије NetWeaver-а, укључујући сигурносне напомене #3594142 и #3604119 које треба што прије инсталирати како би се системи заштитили од ових рањивости. За идентификацију угрожених система могу се користити Tenable  plugin ови И Tenable Attack Surface Management алати. 

Извор:CVE-2025-31324: Zero-Day Vulnerability in SAP NetWeaver Exploited in the Wild - Blog | Tenable®