Поделиться
Уязвимость в SAP NetWeaver уже использует киберкриминал
Исследователи обнаружили ряд атак, которые могли быть осуществлены только с помощью прежде неизвестной уязвимости. Ее наличие подтвердили лишь спустя несколько дней после оригинальной публикации.
По когтям льва узнают
В решении SAP NetWeaver скрывается уязвимость, которую уже облюбовал киберкриминал. До самого недавнего времени она была лишь теоретической - ее вычислили по последствиям. Официальное подтверждение состоялось уже после публикации об атаках, в которых она была задействована.
«Баг», получивший индекс CVE-2025-31324, используется для подгрузки веб-шеллов JSP с целью помещения в уязвимые системы дополнительных файлов и запуска произвольного кода, утверждается в публикации фирмы ReliaQuest.
Атаки осуществляются также с помощью более ранней уязвимости CVE-2017-9844.
Однако в своей изначальной публикации эксперты ReliaQuest указали, что атаки были отмечены и в отношении систем, на которые были установлены все патчи. Соответственно, речь должна была идти о какой-то еще уязвимости.
Эксперты даже указали, в каком именно компоненте NetWeaver она может располагаться - /developmentserver/metadatauploader (и оказались правы).
«Баг» открывал возможность устанавливать веб-шеллы на базе JSP в каталог servlet_jsp/irj/root/, обеспечивая себе таким образом удаленный доступ с возможностью загружать дополнительные вредоносные компоненты и запускать произвольный код.
В нескольких случаях хакеры устанавливали пост-эксплуатационный фреймворк Brute Ratel C4. Защиту конечных точек они обходили с использованием широко известной методики Heaven's Gate (вызов 64-разрядного кода в 32-разрядных процессах; методика больше не работает под Windows, но может работать в других средах).
Как минимум в одном случае между первоначальной атакой, обеспечившей удаленный доступ в целевую систему, и практической эксплуатацией прошло несколько дней. Это, как полагают в ReliaQuest, может указывать, что первую атаку осуществлял «брокер первичного доступа» - хакерская группа, которая специализируется на продаже доступа другим представителям киберкриминала.
Небольшая ошибка, или все еще хуже
В SAP подтвердили наличие уязвимости. Единственное, в чем ошиблись специалисты ReliaQuest, это в классификации «бага». Они полагали, что речь идет о возможности удаленного внедрения файла, но оказалось, что уязвимость допускала ничем не ограниченную загрузку любых файлов в систему.
«Разница заключается в том, что внедрение файла осуществляется через ошибку в веб-приложении - в том, как оно обрабатывает переменные, например», - отмечает Анастасия Мельникова. «Неограниченная подгрузка файлов не требует взаимодействия с конкретным веб-приложением, злоумышленники просто имеют возможность подгружать файлы напрямую в подлежащую систему без авторизации. Это куда более неприятный вариант уязвимости».
Принадлежащая SAP фирма, специализирующаяся на информбезопасности, Onapsis, опубликовала свое собственное исследование с некоторыми подробностями. Как выяснилось, потенциальному злоумышленнику достаточно отправить специально составленный пакет POST через протоколы HTTP или HTTPS, направленный на /developmentserver/metadatauploader, после чего открывается возможность подгружать любые файлы.
Веб-шеллы, в свою очередь, позволяют запускать уже произвольные команды в системе, причем сразу с полным доступом ко всем ресурсам операционной системы SAP.
Индикаторами компрометации являются файлы jsp, java или class в следующих каталогах:
Check the root of the following OS directories for the presence of ‘jsp’, ‘java’, or ‘class’ files.
C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\root
C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work
C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work\sync
Файлы Helper.jsp и Cache.jsp - это гарантированно веб-шеллы злоумышленников.
При их обнаружении следует рассматривать систему как скомпрометированную и задействовать план по нейтрализации инцидента.
К настоящему моменту SAP выпустил хотфикс - промежуточное исправление. Полноценный патч, вероятно, последует в скором времени.
О том, кто именно может стоять за атаками, в публикациях SAP или ReliaQuest не уточняется.
Короткая ссылка
