Η SAP διορθώνει κρίσιμη ευπάθεια στο Netweaver
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η SAP διορθώνει κρίσιμη ευπάθεια στο Netweaver
https://www.secnews.gr/646814/sap-diorthonei-krisimi-eupatheia-netweaver/
Apr 25th 2025, 17:27
by Digital Fortress
Η SAP κυκλοφόρησε έκτακτες ενημερώσεις για το NetWeaver, προκειμένου να διορθώσει μια σοβαρή ευπάθεια ασφαλείας (zero-day), που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα (RCE) σε διακομιστές και χρησιμοποιείται σε επιθέσεις.
Το συγκεκριμένο σφάλμα, το οποίο παρακολουθείται ως CVE-2025-31324 και χαρακτηρίζεται κρίσιμο (με βαθμολογία CVSS 10.0), σχετίζεται με μη εξουσιοδοτημένη μεταφόρτωση αρχείων στο SAP NetWeaver Visual Composer — και πιο συγκεκριμένα, στο Metadata Uploader component. Ουσιαστικά, οι επιτιθέμενοι μπορούν να ανεβάζουν κακόβουλα εκτελέσιμα, χωρίς να απαιτείται σύνδεση, κάτι που μπορεί να οδηγήσει σε πλήρη έλεγχο του συστήματος και σοβαρούς κινδύνους ασφάλειας.
Η ReliaQuest αποκάλυψε νωρίτερα μέσα στην εβδομάδα μια ευπάθεια στο SAP NetWeaver Visual Composer και συγκεκριμένα στο '/developmentserver/metadatauploader' endpoint – κάτι που συμπίπτει με την ευπάθεια CVE-2025-31324.
Δείτε επίσης: Η ASUS διορθώνει ευπάθεια AMI που επιτρέπει παραβίαση servers
Η ReliaQuest ανέφερε ότι αρκετοί πελάτες της έπεσαν θύματα παραβίασης μέσω ανεξέλεγκτης μεταφόρτωσης αρχείων στην πλατφόρμα SAP NetWeaver. Οι δράστες εκμεταλλεύτηκαν αυτή την ευπάθεια για να μεταφορτώσουν JSP webshells σε δημόσια προσβάσιμους φακέλους. Αυτά τα webshells έδωσαν τη δυνατότητα στους εισβολείς να τρέχουν απομακρυσμένα εντολές στον διακομιστή μέσω απλών αιτημάτων GET, επιτρέποντας χειρισμούς όπως η εκτέλεση εντολών, η αποστολή και λήψη αρχείων, και άλλες λειτουργίες.
Μετά την αρχική παραβίαση, οι επιτιθέμενοι προχώρησαν σε πιο εξελιγμένες ενέργειες, όπως την εγκατάσταση του γνωστού εργαλείου Brute Ratel που χρησιμοποιείται από red teams, την εφαρμογή της τεχνικής "Heaven's Gate" για αποφυγή εντοπισμού και την εισαγωγή MSBuild-compiled code στο σύστημα διαδικασιών dllhost.exe.
Η ReliaQuest επεσήμανε ότι δεν απαιτήθηκε καμία διαδικασία πιστοποίησης για να εκμεταλλευτούν οι επιτιθέμενοι την ευπάθεια και ότι τα συστήματα των πελατών ήταν πλήρως ενημερωμένα, κάτι που δείχνει ότι χρησιμοποιήθηκε ένα zero-day exploit.
Η εταιρεία κυβερνοασφάλειας watchTowr επιβεβαίωσε επίσης στο BleepingComputer ότι παρακολουθεί ενεργές επιθέσεις που συνδέονται άμεσα με την ευπάθεια CVE-2025-31324.
Η watchTowr έχει καταγράψει περιπτώσεις κατά τις οποίες απειλητικοί παράγοντες εκμεταλλεύονται ενεργά την ευπάθεια του SAP NetWeaver, για την εγκατάσταση κακόβουλων shell backdoors σε εκτεθειμένα συστήματα, με στόχο να αποκτήσουν βαθύτερη πρόσβαση στα δίκτυα-στόχους.
Δείτε επίσης: Ευπάθεια στο Active! Mail χρησιμοποιείται για επιθέσεις στην Ιαπωνία
SAP NetWeaver ευπάθεια: Γιατί είναι τόσο επικίνδυνη:
• Zero-day: Δεν υπήρχε διαθέσιμη επιδιόρθωση όταν ξεκίνησε να αξιοποιείται από επιτιθέμενους.
• Δεν απαιτεί έλεγχο ταυτότητας: Οι επιτιθέμενοι μπορούν να «ανεβάζουν» αρχεία χωρίς να χρειάζεται να έχουν συνδεθεί ή να έχουν πρόσβαση — δηλαδή, η εκμετάλλευση είναι πολύ εύκολη και ιδιαίτερα προσβάσιμη ακόμη και για μη έμπειρους hackers.
• Απομακρυσμένη εκτέλεση κώδικα (RCE): Αυτή είναι από τις πιο επικίνδυνες μορφές επίθεσης. Επιτρέπει στους επιτιθέμενους να «τρέχουν» οποιοδήποτε κακόβουλο πρόγραμμα εξ αποστάσεως και να πάρουν πλήρη έλεγχο του server.
• Έχει ήδη αξιοποιηθεί ενεργά: Δεν μιλάμε για μια θεωρητική απειλή. Η ReliaQuest και η watchTowr έχουν επιβεβαιώσει πραγματικές επιθέσεις με χρήση της, πράγμα που σημαίνει ότι ήδη υπάρχουν παραβιασμένοι servers.
Η SAP διορθώνει κρίσιμη ευπάθεια στο Netweaver
Προστασία
Η συγκεκριμένη ευπάθεια εντοπίζεται στο Visual Composer Framework έκδοση 7.50. Η SAP συνιστά άμεση εγκατάσταση της έκτακτης ενημέρωσης που έχει εκδοθεί ειδικά για την αντιμετώπισή της. Αξίζει να σημειωθεί ότι αυτή η επείγουσα αναβάθμιση κυκλοφόρησε μετά τη μηνιαία ενημέρωση ασφαλείας της SAP για τον Απρίλιο του 2025. Συνεπώς, όσοι έχουν εφαρμόσει εκείνη την ενημέρωση στις 8 Απριλίου, παραμένουν ευάλωτοι.
Η έκτακτη ενημέρωση περιλαμβάνει επίσης διορθώσεις για δύο ακόμα σοβαρές ευπάθειες: μία που επιτρέπει code injection στο SAP S/4HANA (CVE-2025-27429) και μία ακόμη που αφορά την πλατφόρμα SAP Landscape Transformation (code injection – CVE-2025-31330).
Δείτε επίσης: Ευπάθειες SQL Injection επηρεάζουν δημοφιλείς TP-Link routers
Για όσους δεν έχουν τη δυνατότητα να εγκαταστήσουν άμεσα τις επιδιορθώσεις για την ευπάθεια CVE-2025-31324, προτείνονται τα εξής προληπτικά μέτρα για τον περιορισμό του κινδύνου:
• Περιορίστε την πρόσβαση στο /developmentserver/metadatauploader endpoint, ώστε να μη μπορεί να αξιοποιηθεί από μη εξουσιοδοτημένους χρήστες.
• Εάν η λειτουργία Visual Composer δεν είναι απαραίτητη στο σύστημά σας, εξετάστε σοβαρά το ενδεχόμενο να την απενεργοποιήσετε πλήρως.
• Κατευθύνετε τα αρχεία καταγραφής (logs) προς το SIEM σύστημά σας και πραγματοποιήστε έλεγχο για ύποπτα ή άγνωστα αρχεία στο servlet path.
Η ReliaQuest υπογραμμίζει επίσης τη σημασία μιας διεξοδικής σάρωσης του περιβάλλοντος για εντοπισμό και αφαίρεση πιθανών κακόβουλων αρχείων, πριν ακόμη προχωρήσετε στην εφαρμογή των προτεινόμενων μέτρων ασφαλείας.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η SAP διορθώνει κρίσιμη ευπάθεια στο Netweaver
https://www.secnews.gr/646814/sap-diorthonei-krisimi-eupatheia-netweaver/
Apr 25th 2025, 17:27
by Digital Fortress
Η SAP κυκλοφόρησε έκτακτες ενημερώσεις για το NetWeaver, προκειμένου να διορθώσει μια σοβαρή ευπάθεια ασφαλείας (zero-day), που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα (RCE) σε διακομιστές και χρησιμοποιείται σε επιθέσεις.
Το συγκεκριμένο σφάλμα, το οποίο παρακολουθείται ως CVE-2025-31324 και χαρακτηρίζεται κρίσιμο (με βαθμολογία CVSS 10.0), σχετίζεται με μη εξουσιοδοτημένη μεταφόρτωση αρχείων στο SAP NetWeaver Visual Composer — και πιο συγκεκριμένα, στο Metadata Uploader component. Ουσιαστικά, οι επιτιθέμενοι μπορούν να ανεβάζουν κακόβουλα εκτελέσιμα, χωρίς να απαιτείται σύνδεση, κάτι που μπορεί να οδηγήσει σε πλήρη έλεγχο του συστήματος και σοβαρούς κινδύνους ασφάλειας.
Η ReliaQuest αποκάλυψε νωρίτερα μέσα στην εβδομάδα μια ευπάθεια στο SAP NetWeaver Visual Composer και συγκεκριμένα στο '/developmentserver/metadatauploader' endpoint – κάτι που συμπίπτει με την ευπάθεια CVE-2025-31324.
Δείτε επίσης: Η ASUS διορθώνει ευπάθεια AMI που επιτρέπει παραβίαση servers
Η ReliaQuest ανέφερε ότι αρκετοί πελάτες της έπεσαν θύματα παραβίασης μέσω ανεξέλεγκτης μεταφόρτωσης αρχείων στην πλατφόρμα SAP NetWeaver. Οι δράστες εκμεταλλεύτηκαν αυτή την ευπάθεια για να μεταφορτώσουν JSP webshells σε δημόσια προσβάσιμους φακέλους. Αυτά τα webshells έδωσαν τη δυνατότητα στους εισβολείς να τρέχουν απομακρυσμένα εντολές στον διακομιστή μέσω απλών αιτημάτων GET, επιτρέποντας χειρισμούς όπως η εκτέλεση εντολών, η αποστολή και λήψη αρχείων, και άλλες λειτουργίες.
Μετά την αρχική παραβίαση, οι επιτιθέμενοι προχώρησαν σε πιο εξελιγμένες ενέργειες, όπως την εγκατάσταση του γνωστού εργαλείου Brute Ratel που χρησιμοποιείται από red teams, την εφαρμογή της τεχνικής "Heaven's Gate" για αποφυγή εντοπισμού και την εισαγωγή MSBuild-compiled code στο σύστημα διαδικασιών dllhost.exe.
Η ReliaQuest επεσήμανε ότι δεν απαιτήθηκε καμία διαδικασία πιστοποίησης για να εκμεταλλευτούν οι επιτιθέμενοι την ευπάθεια και ότι τα συστήματα των πελατών ήταν πλήρως ενημερωμένα, κάτι που δείχνει ότι χρησιμοποιήθηκε ένα zero-day exploit.
Η εταιρεία κυβερνοασφάλειας watchTowr επιβεβαίωσε επίσης στο BleepingComputer ότι παρακολουθεί ενεργές επιθέσεις που συνδέονται άμεσα με την ευπάθεια CVE-2025-31324.
Η watchTowr έχει καταγράψει περιπτώσεις κατά τις οποίες απειλητικοί παράγοντες εκμεταλλεύονται ενεργά την ευπάθεια του SAP NetWeaver, για την εγκατάσταση κακόβουλων shell backdoors σε εκτεθειμένα συστήματα, με στόχο να αποκτήσουν βαθύτερη πρόσβαση στα δίκτυα-στόχους.
Δείτε επίσης: Ευπάθεια στο Active! Mail χρησιμοποιείται για επιθέσεις στην Ιαπωνία
SAP NetWeaver ευπάθεια: Γιατί είναι τόσο επικίνδυνη:
• Zero-day: Δεν υπήρχε διαθέσιμη επιδιόρθωση όταν ξεκίνησε να αξιοποιείται από επιτιθέμενους.
• Δεν απαιτεί έλεγχο ταυτότητας: Οι επιτιθέμενοι μπορούν να «ανεβάζουν» αρχεία χωρίς να χρειάζεται να έχουν συνδεθεί ή να έχουν πρόσβαση — δηλαδή, η εκμετάλλευση είναι πολύ εύκολη και ιδιαίτερα προσβάσιμη ακόμη και για μη έμπειρους hackers.
• Απομακρυσμένη εκτέλεση κώδικα (RCE): Αυτή είναι από τις πιο επικίνδυνες μορφές επίθεσης. Επιτρέπει στους επιτιθέμενους να «τρέχουν» οποιοδήποτε κακόβουλο πρόγραμμα εξ αποστάσεως και να πάρουν πλήρη έλεγχο του server.
• Έχει ήδη αξιοποιηθεί ενεργά: Δεν μιλάμε για μια θεωρητική απειλή. Η ReliaQuest και η watchTowr έχουν επιβεβαιώσει πραγματικές επιθέσεις με χρήση της, πράγμα που σημαίνει ότι ήδη υπάρχουν παραβιασμένοι servers.
Η SAP διορθώνει κρίσιμη ευπάθεια στο Netweaver
Προστασία
Η συγκεκριμένη ευπάθεια εντοπίζεται στο Visual Composer Framework έκδοση 7.50. Η SAP συνιστά άμεση εγκατάσταση της έκτακτης ενημέρωσης που έχει εκδοθεί ειδικά για την αντιμετώπισή της. Αξίζει να σημειωθεί ότι αυτή η επείγουσα αναβάθμιση κυκλοφόρησε μετά τη μηνιαία ενημέρωση ασφαλείας της SAP για τον Απρίλιο του 2025. Συνεπώς, όσοι έχουν εφαρμόσει εκείνη την ενημέρωση στις 8 Απριλίου, παραμένουν ευάλωτοι.
Η έκτακτη ενημέρωση περιλαμβάνει επίσης διορθώσεις για δύο ακόμα σοβαρές ευπάθειες: μία που επιτρέπει code injection στο SAP S/4HANA (CVE-2025-27429) και μία ακόμη που αφορά την πλατφόρμα SAP Landscape Transformation (code injection – CVE-2025-31330).
Δείτε επίσης: Ευπάθειες SQL Injection επηρεάζουν δημοφιλείς TP-Link routers
Για όσους δεν έχουν τη δυνατότητα να εγκαταστήσουν άμεσα τις επιδιορθώσεις για την ευπάθεια CVE-2025-31324, προτείνονται τα εξής προληπτικά μέτρα για τον περιορισμό του κινδύνου:
• Περιορίστε την πρόσβαση στο /developmentserver/metadatauploader endpoint, ώστε να μη μπορεί να αξιοποιηθεί από μη εξουσιοδοτημένους χρήστες.
• Εάν η λειτουργία Visual Composer δεν είναι απαραίτητη στο σύστημά σας, εξετάστε σοβαρά το ενδεχόμενο να την απενεργοποιήσετε πλήρως.
• Κατευθύνετε τα αρχεία καταγραφής (logs) προς το SIEM σύστημά σας και πραγματοποιήστε έλεγχο για ύποπτα ή άγνωστα αρχεία στο servlet path.
Η ReliaQuest υπογραμμίζει επίσης τη σημασία μιας διεξοδικής σάρωσης του περιβάλλοντος για εντοπισμό και αφαίρεση πιθανών κακόβουλων αρχείων, πριν ακόμη προχωρήσετε στην εφαρμογή των προτεινόμενων μέτρων ασφαλείας.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια