SAP NetWeaver Visual Composer’da kritik bir güvenlik açığı (CVE-2025-31324) sistemleri tam uzlaşma riski taşır. SAP Java sistemlerinizin etkilenip etkilenmediğini ve atılacak hemen adımları nasıl kontrol edeceğinizi öğrenin.
CVE-2025-31324 olarak tanımlanan ciddi bir güvenlik açığı, SAP Netweaver’ın görsel besteci geliştirme sunucusunda keşfedildi. Mükemmel bir 10.0 şiddet puanı alan bu kritik sorun, bir kullanıcının doğru izinlere sahip olup olmadığını ve aktif olarak sömürüldüğünü doğrulaması gereken eksik bir kontrolden kaynaklanmaktadır.
Araştırmalar, otomatik olarak yüklenmemiş olmasına rağmen, kusurun mevcut SAP NetWeaver Uygulama Sunucusu Java sistemlerinin% 50 ila% 70’inde aktif olduğunu ortaya koymaktadır.
Bildirildiğine göre, ilk olarak Reliaquest tarafından belgelenen güvenlik açığı “developmentserver”SAP NetWeaver 7.xx’in bir bileşeni olan SAP Visual Composer’ın bir kısmı, kod yazmadan iş araçları oluşturmak için tasarlandı.
Sorun oluşur, çünkü sistem meta veri yükleyici özelliğine erişen birinin gerçekten buna izin verilip verilmediğini kontrol etmemesidir. Bu uygun kimlik doğrulama ve yetkilendirme eksikliği, açılmamış kullanıcıların güçlü işlevlere erişmesini sağlar.
22 Nisan’da Reliaquest, Yamalı SAP NetWeaver sunucularında şüpheli aktivite gözlemledi, bu da saldırganların farklı, bilinmeyen bir güvenlik açığı kullanmış olabileceğini düşündürdü. Aynı gün SAP, SAP Netweaver Java Systems’ta açıklandığını kabul etti, bilgi tabanı makalesinde açıklandığı gibi SAP KBA 3593336’da. … \ İrj \ work \ sync muhtemelen kötü niyetlidir.
Son olarak, 24 Nisan’da SAP, CVE-2025-31324’ü resmi olarak duyurdu ve bunun “SAP NetWeaver’da (Visual Composer Geliştirme Sunucusu) eksik yetkilendirme kontrolünden” kaynaklandığını açıkça belirtti. Kök nedenin, yetkisiz bireylerin tehlikeli yürütülebilir dosyalar yüklemesine izin vererek uygun izin kontrollerinin eksikliği olduğunu doğruladılar ve bant dışı acil NetWeaver güncellemesi yayınlandı.
Kayıp bir yetkilendirme sorunu (CWE-862) veya kritik işlev (CWE-306) için eksik kimlik doğrulama olarak sınıflandırılan bu kusur, kullanılırsa sistem ele geçirme riski oluşturur, bu nedenle en yüksek şiddet puanı kazanmıştır.
Standart web iletişim yöntemleri kullanılarak uzaktan sömürülebilir (HTTP/HTTPS). Güvenlik uzmanları, saldırganların belirli bir web adresini hedeflediğini gözlemlemişlerdir: /developmentserver/metadatauploaderözel olarak hazırlanmış istekler göndererek ve bir saldırı gerçekleştirmek için herhangi bir giriş veya kimlik doğrulama gerekmediğinden, herhangi bir hesap olmadan bile, sistemin savunmasız kısmı ile etkileşime girebilir ve herhangi bir dosya yükleyebilir.
Onapsis’in blog yayınına göre, Webshells adlı kötü amaçlı kod dosyaları “helper.jsp” veya “cache.jsp”Zaten yükleniyor ve saldırganların yazılım yöneticileri olarak üst düzey izinlerle komutları yürütmesine izin veriyor (
“Tehdit aktörleri, Web mermileri savunmasız sistemlere yüklediklerini gözlemlediler. Bu web kabukları, tehdit aktörünün ADM işletim sistemi kullanıcısının ayrıcalıklarıyla sistem bağlamında keyfi komutlar yürütmesine izin vererek tüm SAP kaynaklarına tam erişim sağlıyor.”
Opsis’te Juan Perez -chegoyen-CTO
SAP, müşterileri Java sistemlerini kontrol ederek risklerini derhal değerlendirmeye çağırıyor. VCFRAMEWORK Korunmasız bileşen temel Java yığınında veya varsayılan çözüm yöneticisi kurulumlarında mevcut olmayabileceğinden, bileşen (özellikle 7.5 yaşından büyükse veya 16’nın altında bir destek paketi ile 7.0). Resmi düzeltmenin uygulanması, bu riski azaltmak için tek çözümdür.
Saldırı yüzey yönetimi firması Watchtowr CEO’su Benjamin Harris, kimlik doğrulanmamış saldırganların SAP NetWeaver’da keyfi dosyaları yüklemek için aktif olarak bir güvenlik açığından yararlanarak tam sistem uzlaşmasına yol açtığı konusunda uyardı.
“Bu teorik değil, şimdi oluyor,” dedi Harris, saldırganların erişimlerini derinleştirmek için web kabuğunu arka planlar eklediklerini belirtti. SAP Security Note 3594142 aracılığıyla derhal yamalamaya çağırarak, “Eğer zamanınız olduğunu düşünüyorsanız, yapmıyorsunuz” diye vurguladı. Harris, WatchTowr müşterilerinin platformun hızlı algılama yetenekleri sayesinde 12 saat içinde maruz kalma konusunda uyarıldığını da sözlerine ekledi.