SAP telah merilis pembaruan netweaver darurat di luar band untuk memperbaiki dugaan eksekusi kode jarak jauh (RCE) cacat zero-hari secara aktif dieksploitasi untuk membajak server.
Kerentanan, dilacak di bawah CVE-2025-31324 dan Rated Critical (skor CVSS V3: 10.0), adalah kerentanan pengunggahan file yang tidak aautentikasi di SAP Netweaver Visual Composer, khususnya komponen pengunggah metadata.
Ini memungkinkan penyerang untuk mengunggah file yang dapat dieksekusi berbahaya tanpa perlu masuk, berpotensi mengarah ke eksekusi kode jarak jauh dan kompromi sistem penuh.
Padahal Buletin Vendor Bukan publik, Reliaquest melaporkan awal pekan ini tentang kerentanan yang dieksploitasi secara aktif pada SAP Netweaver Visual Composer, khususnya titik akhir ‘/DevelopmentServer/Metadatauploader’, yang selaras dengan CVE-2025-31324.
Bindiast dilaporkan Bahwa banyak pelanggan dikompromikan melalui unggahan file yang tidak sah di SAP Netweaver, dengan penyerang mengunggah JSP Webshells ke direktori yang dapat diakses secara publik.
Upload ini diaktifkan eksekusi kode jarak jauh melalui permintaan GET sederhana ke file JSP, memungkinkan eksekusi perintah dari browser, tindakan manajemen file (unggah/unduh), dan banyak lagi.
Dalam fase pasca-eksploitasi, para penyerang mengerahkan alat tim merah ‘Brute Ratel’, teknik keamanan ‘gerbang surga’, dan menyuntikkan kode yang dikompilasi MSBuild ke dalam dllhost.exe untuk stealth.
Reliaquest mencatat dalam laporan bahwa eksploitasi tidak memerlukan otentikasi dan bahwa sistem yang dikompromikan ditambal sepenuhnya, menunjukkan bahwa mereka ditargetkan oleh eksploitasi nol-hari.
Perusahaan keamanan Watchtowr juga mengkonfirmasi kepada BleepingComputer mereka melihat eksploitasi aktif terkait dengan CVE-2025-31324.
“Penyerang yang tidak aautentikasi dapat menyalahgunakan fungsionalitas bawaan untuk mengunggah file sewenang-wenang ke instance SAP NetWeaver, yang berarti eksekusi kode jarak jauh penuh dan total kompromi sistem,” kata CEO Watchtowr Benjamin Harris.
“Watchtowr melihat eksploitasi aktif oleh aktor ancaman, yang menggunakan kerentanan ini untuk menjatuhkan backdoors web ke sistem yang terbuka dan mendapatkan akses lebih lanjut.”
“Eksploitasi yang aktif di bawah ini dan dampak luas ini membuatnya sangat mungkin bahwa kita akan segera melihat eksploitasi yang produktif oleh banyak pihak.”
BleepingComputer menghubungi SAP dengan pertanyaan tentang eksploitasi aktif tetapi belum menerima tanggapan saat ini.
Lindungi dari serangan sekarang
Kerentanan berdampak pada kerangka kerja Visual Composer 7.50 dan tindakan yang disarankan adalah menerapkan tambalan terbaru.
Pembaruan Keamanan Darurat ini tersedia setelah SAP Reguler Pembaruan ‘April 2025’jadi jika Anda menerapkan pembaruan itu awal bulan ini (dirilis pada 8 April 2025), Anda masih rentan terhadap CVE-2025-31324.
Selain itu, pembaruan darurat mencakup perbaikan untuk dua kerentanan yang lebih kritis, yaitu CVE-2025-27429 (injeksi kode dalam SAP S/4HANA) dan CVE-2025-31330 (injeksi kode dalam transformasi lanskap SAP).
Mereka yang tidak dapat menerapkan pembaruan yang alamat CVE-2025-31324 disarankan untuk melakukan mitigasi berikut:
- Batasi akses ke titik akhir /pengembangan /metadatauploader.
- Jika komposer visual tidak digunakan, pertimbangkan untuk mematikannya sepenuhnya.
- Maju log ke SIEM dan memindai untuk file yang tidak sah di jalur servlet.
Reliaquest merekomendasikan melakukan pemindaian lingkungan yang dalam untuk menemukan dan menghapus file yang dicurigai sebelum menerapkan mitigasi.
Perbarui 4/25 -Seorang juru bicara SAP yang diperdebatkan melalui pernyataan kepada BleepingComputer bahwa CVE-2025-31324 berhasil dieksploitasi dalam serangan aktual.
“SAP dibuat sadar akan kerentanan dalam SAP Netweaver Visual Composer, yang mungkin telah memungkinkan eksekusi kode yang tidak otentikasi dan tidak sah di Java Servlet tertentu,” kata juru bicara SAP.
“SAP tidak sadar bahwa data atau sistem pelanggan SAP dipengaruhi oleh kerentanan ini. Solusi dirilis pada 8 April 2025, dan tambalan saat ini tersedia. Pelanggan disarankan untuk menerapkan tambalan segera.”
Sementara itu, perusahaan cybersecurity Onapsis, menerbitkan laporan yang mengatakannya juga mengamati eksploitasi aktif.
