Bezpieczny Wtorek ze SNOK: Krytyczna luka CVE-2025-31324 w SAP NetWeaver - co musisz wiedzieć

W dzisiejszym wydaniu „Bezpiecznego Wtorku” skupiamy się na niezwykle poważnej luce bezpieczeństwa wykrytej w systemach SAP NetWeaver, oznaczonej jako CVE-2025-31324. Ta podatność, oceniona na maksymalny wskaźnik CVSS 10.0, jest obecnie aktywnie wykorzystywana przez cyberprzestępców na całym świecie. SAP wydał już odpowiednią łatkę, ale wiele systemów pozostaje niezabezpieczonych.

Czym jest podatność CVE-2025-31324?

Podatność CVE-2025-31324 dotyczy komponentu Metadata Uploader w SAP NetWeaver Visual Composer. Jest to krytyczna luka typu „brak autoryzacji” (Missing Authorization), która pozwala nieuwierzytelnionym atakującym na przesyłanie dowolnych plików do systemu SAP.

Problem wynika z braku odpowiednich mechanizmów uwierzytelniania i autoryzacji przy dostępie do endpointu /developmentserver/metadatauploader. Ten komponent, który normalnie służy deweloperom do wgrywania metadanych podczas tworzenia aplikacji w Visual Composer, może zostać nadużyty przez atakujących do wgrania złośliwych plików JSP (webshelli).

Konsekwencje dla organizacji

Skutki wykorzystania tej podatności są niezwykle poważne:

Rekomendujemy:

Natychmiastowe sprawdzenie wszystkich systemów SAP pod kątem obecności komponentu VCFRAMEWORK
Wdrożenie łatki SAP Security Note 3594142 tam, gdzie to możliwe
Zastosowanie jednego z rozwiązań tymczasowych w przypadku, gdy patching nie jest natychmiast możliwy
Sprawdzenie systemów pod kątem oznak kompromitacji (obecność podejrzanych plików JSP)

Jeśli potrzebujesz wsparcia w zabezpieczeniu swoich systemów SAP lub masz pytania dotyczące tej podatności, eksperci SNOK są gotowi pomóc. Skontaktuj się z nami, aby uzyskać fachową poradę i wsparcie w ochronie Twoich krytycznych systemów biznesowych.

Rekomendujemy:

Natychmiastowe sprawdzenie wszystkich systemów SAP pod kątem obecności komponentu VCFRAMEWORK
Wdrożenie łatki SAP Security Note 3594142 tam, gdzie to możliwe
Zastosowanie jednego z rozwiązań tymczasowych w przypadku, gdy patching nie jest natychmiast możliwy
Sprawdzenie systemów pod kątem oznak kompromitacji (obecność podejrzanych plików JSP)

[/cmsmasters_text][/cmsmasters_column][/cmsmasters_row]

Połącz się z SAP NetWeaver Administrator (http(s)://:/nwa)

Nawiguj do: Configuration → Connectivity/Infrastructure → Java HTTP Provider Configuration → Virtual Hosts → Application Aliases

Usuń flagę „Active” dla aliasu developmentserver

Zapisz zmiany (restart nie jest wymagany)

Opcja 3: Blokada dostępu w ICM

Dodaj regułę RegIForbiddenUrl ^/developmentserver(.*) – do pliku reguł ICM
Wymagany restart ICM

Opcja 4: Blokada na poziomie firewalla

Skonfiguruj reguły firewalla blokujące dostęp do URL-a /developmentserver/
Nie wymaga restartu systemu

Opcja 5: Ograniczenie dostępu poprzez DMZ

Jeśli Enterprise Portal jest udostępniony do Internetu, ogranicz dostęp tylko do określonych URL-i
Blokuj wszystkie inne URL-e, w tym „developmentserver”

Rola SecurityBridge w zabezpieczaniu systemów

SNOK, jako partner SecurityBridge, oferuje kompleksowe wsparcie w identyfikacji, monitoringu i zabezpieczaniu systemów SAP przed podatnościami takimi jak CVE-2025-31324.

SecurityBridge już wprowadził mechanizmy detekcji tej podatności, które pozwalają na:

Automatyczną identyfikację zagrożonych systemów w całym krajobrazie SAP
Wykrywanie potencjalnych prób wykorzystania podatności
Monitorowanie podejrzanych aktywności związanych z tą luką

Podsumowanie

Podatność CVE-2025-31324 stanowi wyjątkowo poważne zagrożenie dla systemów SAP NetWeaver wyposażonych w komponent Visual Composer. Z maksymalnym wskaźnikiem CVSS 10.0 i doniesieniami o aktywnym wykorzystywaniu w atakach, wymaga natychmiastowej reakcji.

Rekomendujemy:

Natychmiastowe sprawdzenie wszystkich systemów SAP pod kątem obecności komponentu VCFRAMEWORK
Wdrożenie łatki SAP Security Note 3594142 tam, gdzie to możliwe
Zastosowanie jednego z rozwiązań tymczasowych w przypadku, gdy patching nie jest natychmiast możliwy
Sprawdzenie systemów pod kątem oznak kompromitacji (obecność podejrzanych plików JSP)

[/cmsmasters_text][/cmsmasters_column][/cmsmasters_row]

Połącz się z SAP NetWeaver Administrator (http(s)://:/nwa)
Nawiguj do: Configuration → Connectivity/Infrastructure → Java HTTP Provider Configuration → Virtual Hosts → Application Aliases
Usuń flagę „Active” dla aliasu developmentserver
Zapisz zmiany (restart nie jest wymagany)

Opcja 3: Blokada dostępu w ICM

Dodaj regułę RegIForbiddenUrl ^/developmentserver(.*) – do pliku reguł ICM
Wymagany restart ICM

Opcja 4: Blokada na poziomie firewalla

Skonfiguruj reguły firewalla blokujące dostęp do URL-a /developmentserver/
Nie wymaga restartu systemu

Opcja 5: Ograniczenie dostępu poprzez DMZ

Jeśli Enterprise Portal jest udostępniony do Internetu, ogranicz dostęp tylko do określonych URL-i
Blokuj wszystkie inne URL-e, w tym „developmentserver”

Rola SecurityBridge w zabezpieczaniu systemów

SNOK, jako partner SecurityBridge, oferuje kompleksowe wsparcie w identyfikacji, monitoringu i zabezpieczaniu systemów SAP przed podatnościami takimi jak CVE-2025-31324.

SecurityBridge już wprowadził mechanizmy detekcji tej podatności, które pozwalają na:

Automatyczną identyfikację zagrożonych systemów w całym krajobrazie SAP
Wykrywanie potencjalnych prób wykorzystania podatności
Monitorowanie podejrzanych aktywności związanych z tą luką

Podsumowanie

Rekomendujemy:

Natychmiastowe sprawdzenie wszystkich systemów SAP pod kątem obecności komponentu VCFRAMEWORK
Wdrożenie łatki SAP Security Note 3594142 tam, gdzie to możliwe
Zastosowanie jednego z rozwiązań tymczasowych w przypadku, gdy patching nie jest natychmiast możliwy
Sprawdzenie systemów pod kątem oznak kompromitacji (obecność podejrzanych plików JSP)

[/cmsmasters_text][/cmsmasters_column][/cmsmasters_row]

Połącz się z SAP NetWeaver Administrator (http(s)://:/nwa)
Nawiguj do: Configuration → Connectivity/Infrastructure → Java HTTP Provider Configuration → Virtual Hosts → Application Aliases
Usuń flagę „Active” dla aliasu developmentserver
Zapisz zmiany (restart nie jest wymagany)

Opcja 3: Blokada dostępu w ICM

Dodaj regułę RegIForbiddenUrl ^/developmentserver(.*) – do pliku reguł ICM
Wymagany restart ICM

Opcja 4: Blokada na poziomie firewalla

Skonfiguruj reguły firewalla blokujące dostęp do URL-a /developmentserver/
Nie wymaga restartu systemu

Opcja 5: Ograniczenie dostępu poprzez DMZ

Jeśli Enterprise Portal jest udostępniony do Internetu, ogranicz dostęp tylko do określonych URL-i
Blokuj wszystkie inne URL-e, w tym „developmentserver”

Rola SecurityBridge w zabezpieczaniu systemów

SNOK, jako partner SecurityBridge, oferuje kompleksowe wsparcie w identyfikacji, monitoringu i zabezpieczaniu systemów SAP przed podatnościami takimi jak CVE-2025-31324.

SecurityBridge już wprowadził mechanizmy detekcji tej podatności, które pozwalają na:

Automatyczną identyfikację zagrożonych systemów w całym krajobrazie SAP
Wykrywanie potencjalnych prób wykorzystania podatności
Monitorowanie podejrzanych aktywności związanych z tą luką

Podsumowanie

Rekomendujemy:

Natychmiastowe sprawdzenie wszystkich systemów SAP pod kątem obecności komponentu VCFRAMEWORK
Wdrożenie łatki SAP Security Note 3594142 tam, gdzie to możliwe
Zastosowanie jednego z rozwiązań tymczasowych w przypadku, gdy patching nie jest natychmiast możliwy
Sprawdzenie systemów pod kątem oznak kompromitacji (obecność podejrzanych plików JSP)

[/cmsmasters_text][/cmsmasters_column][/cmsmasters_row]

Wyłącz komponent Visual Composer za pomocą filtrów w konfiguracji systemu
Wymagany restart serwera Java

Opcja 2: Dezaktywacja aliasu aplikacji „developmentserver”

Połącz się z SAP NetWeaver Administrator (http(s)://:/nwa)
Nawiguj do: Configuration → Connectivity/Infrastructure → Java HTTP Provider Configuration → Virtual Hosts → Application Aliases
Usuń flagę „Active” dla aliasu developmentserver
Zapisz zmiany (restart nie jest wymagany)

Opcja 3: Blokada dostępu w ICM

Dodaj regułę RegIForbiddenUrl ^/developmentserver(.*) – do pliku reguł ICM
Wymagany restart ICM

Opcja 4: Blokada na poziomie firewalla

Skonfiguruj reguły firewalla blokujące dostęp do URL-a /developmentserver/
Nie wymaga restartu systemu

Opcja 5: Ograniczenie dostępu poprzez DMZ

Jeśli Enterprise Portal jest udostępniony do Internetu, ogranicz dostęp tylko do określonych URL-i
Blokuj wszystkie inne URL-e, w tym „developmentserver”

Rola SecurityBridge w zabezpieczaniu systemów

SNOK, jako partner SecurityBridge, oferuje kompleksowe wsparcie w identyfikacji, monitoringu i zabezpieczaniu systemów SAP przed podatnościami takimi jak CVE-2025-31324.

SecurityBridge już wprowadził mechanizmy detekcji tej podatności, które pozwalają na:

Automatyczną identyfikację zagrożonych systemów w całym krajobrazie SAP
Wykrywanie potencjalnych prób wykorzystania podatności
Monitorowanie podejrzanych aktywności związanych z tą luką

Podsumowanie

Rekomendujemy:

Natychmiastowe sprawdzenie wszystkich systemów SAP pod kątem obecności komponentu VCFRAMEWORK
Wdrożenie łatki SAP Security Note 3594142 tam, gdzie to możliwe
Zastosowanie jednego z rozwiązań tymczasowych w przypadku, gdy patching nie jest natychmiast możliwy
Sprawdzenie systemów pod kątem oznak kompromitacji (obecność podejrzanych plików JSP)

[/cmsmasters_text][/cmsmasters_column][/cmsmasters_row]

Pełny kompromis systemu – atakujący uzyskuje dostęp do systemu z uprawnieniami użytkownika adm, co oznacza praktycznie pełną kontrolę nad systemem SAP
Wgrywanie webshelli – pozwala na zdalne wykonywanie poleceń w kontekście systemu
Dostęp do bazy danych – możliwość odczytu i modyfikacji danych biznesowych
Lateral movement – wykorzystanie skompromitowanego systemu jako punktu wyjścia do ataku na inne systemy w organizacji
Ransomware – możliwość wdrożenia oprogramowania ransomware w sieci korporacyjnej

Jak sprawdzić, czy mój system jest podatny?

Należy podkreślić, że nie wszystkie systemy SAP NetWeaver posiadają zagrożony komponent. Visual Composer nie jest instalowany domyślnie, jednak według ekspertów SecurityBridge, nawet 50-70% systemów SAP Java może posiadać ten komponent.

Sprawdzenie obecności komponentu

Zaloguj się do SAP NetWeaver Application Server Java
Przejdź do System Information → Components Info
Sprawdź, czy na liście znajduje się komponent „VISUAL COMPOSER FRAMEWORK” lub „VCFRAMEWORK”

Rozpoznanie objawów kompromitacji

Jeśli zauważysz dowolny z poniższych plików w określonych lokalizacjach, Twój system może być już skompromitowany:

Pliki .jsp, .java lub .class w katalogu /usr/sap///j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root
Podobne pliki w katalogach /irj/work oraz /irj/work/sync
Pliki o losowych 8-znakowych nazwach z rozszerzeniem .jsp
Pliki o nazwach helper.jsp lub cache.jsp w dowolnej lokalizacji

Znane sygnatury webshelli:

helper.jsp: 1f72bd2643995fab4ecf7150b6367fa1b3fab17afd2abed30a98f075e4913087
cache.jsp: 794cb0a92f51e1387a6b316b8b5ff83d33a51ecf9bf7cc8e88a619ecb64f1dcf

Jak działa atak na tę podatność?

Mechanizm ataku jest niepokojąco prosty. Podatność pozwala osobom bez żadnego uwierzytelnienia ani uprawnień na wprowadzenie złośliwego kodu do systemu SAP. Wyobraźmy to sobie jako niezabezpieczone wejście boczne do budynku firmy, przez które każdy przechodzień może dostać się bezpośrednio do centrali zarządzania.

W praktyce, atakujący łączy się z systemem SAP przez standardowe protokoły internetowe i wykorzystuje niezabezpieczony komponent Visual Composer do wgrania złośliwego oprogramowania. System błędnie zakłada, że osoba wgrywająca pliki ma stosowne uprawnienia, więc przyjmuje je bez weryfikacji.

Po zainstalowaniu takiego „konia trojańskiego” w systemie, atakujący może zdalnie wykonywać dowolne operacje, uzyskując dostęp do danych biznesowych, infrastruktury IT i innych krytycznych zasobów firmy. Wszystko to dzieje się bez pozostawiania standardowych śladów w systemach kontroli dostępu, co dodatkowo utrudnia wykrycie naruszenia.

Szczególnie niepokojący jest fakt, że atak może być przeprowadzony przez każdego, kto ma dostęp do interfejsu sieciowego systemu SAP – nie są wymagane żadne dane logowania, specjalistyczna wiedza czy zaawansowane narzędzia.

Jak się zabezpieczyć?

Zabezpieczenie systemu przed tą podatnością powinno być traktowane jako zadanie najwyższego priorytetu. Oto rekomendowane działania:

1. Instalacja łatki bezpieczeństwa

SAP wydał oficjalną łatkę w ramach SAP Security Note 3594142. Zaleca się jak najszybsze zastosowanie poprawki zgodnie z wytycznymi SAP.

2. Działania tymczasowe

Jeśli natychmiastowa instalacja łatki nie jest możliwa, SAP zaleca wdrożenie jednego z poniższych rozwiązań tymczasowych opisanych w SAP Note 3593336:

Opcja 1: Wyłączenie Visual Composer

Wyłącz komponent Visual Composer za pomocą filtrów w konfiguracji systemu
Wymagany restart serwera Java

Opcja 2: Dezaktywacja aliasu aplikacji „developmentserver”

Połącz się z SAP NetWeaver Administrator (http(s)://:/nwa)
Nawiguj do: Configuration → Connectivity/Infrastructure → Java HTTP Provider Configuration → Virtual Hosts → Application Aliases
Usuń flagę „Active” dla aliasu developmentserver
Zapisz zmiany (restart nie jest wymagany)

Opcja 3: Blokada dostępu w ICM

Dodaj regułę RegIForbiddenUrl ^/developmentserver(.*) – do pliku reguł ICM
Wymagany restart ICM

Opcja 4: Blokada na poziomie firewalla

Skonfiguruj reguły firewalla blokujące dostęp do URL-a /developmentserver/
Nie wymaga restartu systemu

Opcja 5: Ograniczenie dostępu poprzez DMZ

Jeśli Enterprise Portal jest udostępniony do Internetu, ogranicz dostęp tylko do określonych URL-i
Blokuj wszystkie inne URL-e, w tym „developmentserver”

Rola SecurityBridge w zabezpieczaniu systemów

SNOK, jako partner SecurityBridge, oferuje kompleksowe wsparcie w identyfikacji, monitoringu i zabezpieczaniu systemów SAP przed podatnościami takimi jak CVE-2025-31324.

SecurityBridge już wprowadził mechanizmy detekcji tej podatności, które pozwalają na:

Automatyczną identyfikację zagrożonych systemów w całym krajobrazie SAP
Wykrywanie potencjalnych prób wykorzystania podatności
Monitorowanie podejrzanych aktywności związanych z tą luką

Podsumowanie

Rekomendujemy:

Natychmiastowe sprawdzenie wszystkich systemów SAP pod kątem obecności komponentu VCFRAMEWORK
Wdrożenie łatki SAP Security Note 3594142 tam, gdzie to możliwe
Zastosowanie jednego z rozwiązań tymczasowych w przypadku, gdy patching nie jest natychmiast możliwy
Sprawdzenie systemów pod kątem oznak kompromitacji (obecność podejrzanych plików JSP)

[/cmsmasters_text][/cmsmasters_column][/cmsmasters_row]

Pełny kompromis systemu – atakujący uzyskuje dostęp do systemu z uprawnieniami użytkownika adm, co oznacza praktycznie pełną kontrolę nad systemem SAP
Wgrywanie webshelli – pozwala na zdalne wykonywanie poleceń w kontekście systemu
Dostęp do bazy danych – możliwość odczytu i modyfikacji danych biznesowych
Lateral movement – wykorzystanie skompromitowanego systemu jako punktu wyjścia do ataku na inne systemy w organizacji
Ransomware – możliwość wdrożenia oprogramowania ransomware w sieci korporacyjnej

Jak sprawdzić, czy mój system jest podatny?

Sprawdzenie obecności komponentu

Zaloguj się do SAP NetWeaver Application Server Java
Przejdź do System Information → Components Info
Sprawdź, czy na liście znajduje się komponent „VISUAL COMPOSER FRAMEWORK” lub „VCFRAMEWORK”

Rozpoznanie objawów kompromitacji

Jeśli zauważysz dowolny z poniższych plików w określonych lokalizacjach, Twój system może być już skompromitowany:

Pliki .jsp, .java lub .class w katalogu /usr/sap///j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root
Podobne pliki w katalogach /irj/work oraz /irj/work/sync
Pliki o losowych 8-znakowych nazwach z rozszerzeniem .jsp
Pliki o nazwach helper.jsp lub cache.jsp w dowolnej lokalizacji

Znane sygnatury webshelli:

helper.jsp: 1f72bd2643995fab4ecf7150b6367fa1b3fab17afd2abed30a98f075e4913087
cache.jsp: 794cb0a92f51e1387a6b316b8b5ff83d33a51ecf9bf7cc8e88a619ecb64f1dcf

Jak działa atak na tę podatność?

Jak się zabezpieczyć?

Zabezpieczenie systemu przed tą podatnością powinno być traktowane jako zadanie najwyższego priorytetu. Oto rekomendowane działania:

1. Instalacja łatki bezpieczeństwa

SAP wydał oficjalną łatkę w ramach SAP Security Note 3594142. Zaleca się jak najszybsze zastosowanie poprawki zgodnie z wytycznymi SAP.

2. Działania tymczasowe

Jeśli natychmiastowa instalacja łatki nie jest możliwa, SAP zaleca wdrożenie jednego z poniższych rozwiązań tymczasowych opisanych w SAP Note 3593336:

Opcja 1: Wyłączenie Visual Composer

Wyłącz komponent Visual Composer za pomocą filtrów w konfiguracji systemu
Wymagany restart serwera Java

Opcja 2: Dezaktywacja aliasu aplikacji „developmentserver”

Połącz się z SAP NetWeaver Administrator (http(s)://:/nwa)
Nawiguj do: Configuration → Connectivity/Infrastructure → Java HTTP Provider Configuration → Virtual Hosts → Application Aliases
Usuń flagę „Active” dla aliasu developmentserver
Zapisz zmiany (restart nie jest wymagany)

Opcja 3: Blokada dostępu w ICM

Dodaj regułę RegIForbiddenUrl ^/developmentserver(.*) – do pliku reguł ICM
Wymagany restart ICM

Opcja 4: Blokada na poziomie firewalla

Skonfiguruj reguły firewalla blokujące dostęp do URL-a /developmentserver/
Nie wymaga restartu systemu

Opcja 5: Ograniczenie dostępu poprzez DMZ

Jeśli Enterprise Portal jest udostępniony do Internetu, ogranicz dostęp tylko do określonych URL-i
Blokuj wszystkie inne URL-e, w tym „developmentserver”

Rola SecurityBridge w zabezpieczaniu systemów

SNOK, jako partner SecurityBridge, oferuje kompleksowe wsparcie w identyfikacji, monitoringu i zabezpieczaniu systemów SAP przed podatnościami takimi jak CVE-2025-31324.

SecurityBridge już wprowadził mechanizmy detekcji tej podatności, które pozwalają na:

Automatyczną identyfikację zagrożonych systemów w całym krajobrazie SAP
Wykrywanie potencjalnych prób wykorzystania podatności
Monitorowanie podejrzanych aktywności związanych z tą luką

Podsumowanie

Rekomendujemy:

Natychmiastowe sprawdzenie wszystkich systemów SAP pod kątem obecności komponentu VCFRAMEWORK
Wdrożenie łatki SAP Security Note 3594142 tam, gdzie to możliwe
Zastosowanie jednego z rozwiązań tymczasowych w przypadku, gdy patching nie jest natychmiast możliwy
Sprawdzenie systemów pod kątem oznak kompromitacji (obecność podejrzanych plików JSP)

[/cmsmasters_text][/cmsmasters_column][/cmsmasters_row]