Vulnerabilità critica in SAP NetWeaver sfruttata attivamente per attacchi ransomware
CVE-2025-31324 interessa il componente Metadata Uploader di SAP NetWeaver Visual Composer (versione 7.50), utilizzato per lo sviluppo di applicazioni web. La mancanza di controlli di autorizzazione permette a utenti non autenticati di:
-
Caricare file eseguibili malevoli tramite richieste POST all'endpoint
/developmentserver/metadatauploader -
Eseguire codice remoto con privilegi amministrativi
-
Acquisire il controllo completo di database SAP e infrastrutture collegate
Impatto e attività degli aggressori
Gli attacchi osservati includono:
-
Upload di webshell JSP per l'esecuzione di comandi remoti
-
Utilizzo di tool avanzati come Brute Ratel (per il comando e controllo) e Heaven’s Gate (per eludere i sistemi di sicurezza)
-
Potenziale diffusione di ransomware e movimento laterale nelle reti aziendali
Sistemi a rischio:
-
Tutte le implementazioni di SAP NetWeaver Visual Composer Framework 7.50
-
Anche sistemi aggiornati con le patch regolari dell'8 aprile 2025, se non applicato l'aggiornamento emergenziale
Mitigazioni urgenti
L'ACN e SAP raccomandano:
-
Applicare immediatamente la patch emergenziale (SAP Note #3594142) rilasciata il 24 aprile 2025
-
Verificare l'accessibilità dell'endpoint vulnerabile tramite:
curl -k https://[server-sap]/developmentserver/metadatauploader
Se raggiungibile senza autenticazione, il sistema è esposto -
Disinstallare il componente Visual Composer se non essenziale
Contesto globale:
-
Oltre 1.100 server SAP esposti online, molti in ambito governativo
-
Proof of Concept (PoC) già disponibile in rete, con attacchi attesi su larga scala
Fonti: ACN, Help Net Scurity, Infosecurity Magazine, SOCRadar
.