La società di software tedesca SAP ha finalmente rivelato e corretto una vulnerabilità altamente critica nel server di sviluppo NetWeaver Visual Composer, dopo averne riscontrato lo sfruttamento in natura.
NetWeaver Visual Composer è lo strumento di modellazione basato sul Web di SAP che consente agli esperti di processi aziendali e agli sviluppatori di creare componenti di applicazioni aziendali senza dover scrivere codice manuale.
La vulnerabilità, identificata come CVE-2025-31324, è una vulnerabilità di caricamento di file non autenticati nel componente Metadata Uploader di SAP NetWeaver Visual Composer Framework versione 7.50.
Se sfruttata, la vulnerabilità consente a un aggressore non autenticato di caricare file binari eseguibili potenzialmente dannosi, in grado di danneggiare gravemente il sistema host.
"Ciò potrebbe influire in modo significativo sulla riservatezza, l'integrità e la disponibilità del sistema preso di mira", si legge nella pagina CVE.org relativa a CVE-2025-31324.
Alla vulnerabilità è stato assegnato il punteggio di gravità più alto da SAP: 10.0 (CVSS v3.1).
Il fornitore di software tedesco ha inoltre rilasciato una correzione, pubblicata in un aggiornamento di sicurezza di emergenza accessibile solo ai clienti SAP .
Si invitano i clienti ad applicare le nuove versioni il prima possibile.
Prova di sfruttamento
La vulnerabilità è stata rilevata da ReliaQuest nell'aprile 2025 durante l'indagine su diversi incidenti dei clienti che interessavano la piattaforma di integrazione tecnologica SAP NetWeaver, che comportavano caricamenti di file non autorizzati e l'esecuzione di file dannosi.
In un articolo del 22 aprile in cui venivano condivisi i risultati della propria indagine, ReliaQuest ha affermato di aver inizialmente scoperto che gli aggressori avevano caricato "webshell JSP" in directory accessibili al pubblico, una mossa che ricorda una vulnerabilità di inclusione di file remoti (RFI).
Diversi sistemi interessati eseguivano già l'ultimo service pack SAP e avevano applicato le patch rese disponibili nell'aggiornamento mensile regolare di SAP, rilasciato l'8 aprile. Ciò indicava che i proprietari dei sistemi interessati erano stati presi di mira da un exploit zero-day.
Tuttavia, SAP ha successivamente confermato che si tratta di una vulnerabilità di caricamento file senza restrizioni, che consente agli aggressori di caricare file dannosi direttamente sul sistema senza autorizzazione", si legge nel rapporto di ReliaQuest.
ReliaQuest ha aggiunto che lo sfruttamento è probabilmente legato a una vulnerabilità precedentemente divulgata come CVE-2017-9844 o a un problema di inclusione di file remoti (RFI) non segnalato. Inoltre, gli aggressori hanno utilizzato strumenti come Brute Ratel e Heaven's Gate per l'esecuzione e l'elusione.
Dopo essere stata contattata da ReliaQuest, SAP, che è essa stessa una CVE Numbering Authority (CNA), ha segnalato pubblicamente la vulnerabilità il 24 aprile e ha rilasciato una correzione.
Secondo ReliaQuest, le soluzioni SAP rappresentano probabilmente un obiettivo allettante per gli autori delle minacce per due motivi principali.
"In primo luogo, sono spesso utilizzati da enti governativi, il che significa che una compromissione efficace delle vulnerabilità SAP faciliterebbe probabilmente l'accesso alle reti e alle informazioni governative. In secondo luogo, poiché le soluzioni SAP sono spesso implementate on-premise, le misure di sicurezza per questi sistemi sono lasciate agli utenti; aggiornamenti e patch non applicati tempestivamente esporrebbero probabilmente questi sistemi a un rischio maggiore di compromissione", hanno scritto i ricercatori di ReliaQuest.
Nessun commento:
Posta un commento