Dreigingsactoren zijn waarschijnlijk gebruik van een nieuwe kwetsbaarheid in SAP NetWeaver om JSP -webschalen te uploaden met als doel ongeautoriseerde bestandsuploads en code -uitvoering te faciliteren.
“De exploitatie is waarschijnlijk gekoppeld aan een eerder bekendgemaakte kwetsbaarheid zoals CVE-2017-9844 of een niet-gerapporteerd externe bestandsinclusie (RFI) -probleem,” zei Reliaquest in een rapport dat deze week is gepubliceerd.
De cybersecurity zei dat de mogelijkheid van een nul-day voortkomt uit het feit dat verschillende van de getroffen systemen al de nieuwste patches hadden.
De fout wordt beoordeeld als geworteld in het eindpunt “/Developmentserver/MetadataUploader” in de NetWeaver-omgeving, waardoor onbekende dreigingsactoren kwaadaardige JSP-gebaseerde webschalen kunnen uploaden in de “SERVLET_JSP/IRJ/ROOT/” Path voor persistente externe toegang tot externe afstandsbediening.
Anders gezegd, de lichtgewicht JSP -webshell is geconfigureerd om ongeautoriseerde bestanden te uploaden, diepgewortelde controle over de geïnfecteerde hosts mogelijk te maken, externe code en SIPHON -gevoelige gegevens uit te voeren.
Selectieve incidenten zijn waargenomen met behulp van het Brute Ratel C4 Post-Exploitation Framework, evenals een bekende techniek genaamd Heaven’s Gate om eindpuntbescherming te omzeilen.
In één geval hebben de dreigingsactoren meerdere dagen nodig gehad om verder te gaan met een succesvolle initiële toegang tot follow-on exploitatie, waardoor de mogelijkheid werd opgeroepen dat de aanvaller een initiële toegangsmakelaar (IAB) kan zijn die toegang krijgt en de toegang tot andere bedreigingsgroepen op ondergrondse forums verkrijgt.
“Ons onderzoek onthulde een verontrustend patroon, wat suggereert dat tegenstanders een bekende exploit gebruiken en het combineren met een mix van evoluerende technieken om hun impact te maximaliseren,” zei Reliaquest.
“SAP-oplossingen worden vaak gebruikt door overheidsinstanties en ondernemingen, waardoor ze hoogwaardige doelen voor aanvallers zijn. Aangezien SAP-oplossingen vaak worden geïmplementeerd, worden beveiligingsmaatregelen voor deze systemen aan gebruikers overgelaten; updates en patches die niet onmiddellijk worden toegepast, zullen deze systemen waarschijnlijk blootstellen aan een groter risico op compromis.”
Toevallig heeft SAP ook een update uitgebracht om een maximale ernstbeveiligingsfout aan te pakken (CVE-2025-31324, CVSS-score: 10.0) dat een aanvaller zou kunnen benutten om willekeurige bestanden te uploaden.
“SAP NetWeaver Visual Composer Metadata Uploader wordt niet beschermd met een juiste autorisatie, waardoor een niet -geauthenticeerde agent potentieel kwaadaardige uitvoerbare binaries kan uploaden die het hostsysteem ernstig kunnen schaden,” een advies voor de kwetsbaarheid die leest.
Het is waarschijnlijk dat CVE-2025-31324 verwijst naar hetzelfde niet-gerapporteerde beveiligingsdefect, aangezien de eerste ook de metadata-uploadercomponent beïnvloedt.
De openbaarmaking komt iets meer dan een maand nadat de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waarschuwde voor actieve exploitatie van een andere NetWeaver-fout met hoge ernst (CVE-2017-12637) waarmee een aanvaller een aanvaller kan verkrijgen om gevoelige SAP-configuratiebestanden te verkrijgen.
Update
Reliaquest heeft aan The Hacker News bevestigd dat de hierboven beschreven kwaadaardige activiteit inderdaad gebruik maakt van een nieuwe beveiligingslek die nu wordt gevolgd als CVE-2025-31324.
“Deze kwetsbaarheid, die we tijdens ons onderzoek hebben geïdentificeerd dat op 22 april 2025 werd gepubliceerd, werd aanvankelijk vermoedelijk vermoed dat het een externe bestandsinclusie (RFI) is,” zei het bedrijf. “SAP bevestigde het echter later als een onbeperkte kwetsbaarheid voor het uploaden van bestand, waardoor aanvallers zonder toestemming kwaadaardige bestanden kunnen uploaden.”
(Het verhaal werd na publicatie bijgewerkt om de uitbuiting van een nieuwe zero-day fouten te bevestigen.)
