Os pesquisadores de segurança cibernética revelaram o funcionamento interno de um script de exploração direcionado a uma vulnerabilidade crítica de dia zero no upload de metadados compositores visuais da SAP Netweaver, agora designado como CVE-2025-31324.
Essa falha decorre de uma verificação de autorização ausente no ponto de extremidade HTTP /Developmentserver /Metadatauploader, permitindo uploads de arquivo não autenticados que podem levar a execução de código remoto (RCE) sob os privilégios da conta do Serviço SAP.
O script, publicado originalmente pelo VX-Underground, automatiza o processo criando solicitações de postagem HTTP para fazer upload de arquivos arbitrários, como conchas maliciosas da Web JSP, concedendo aos atacantes acesso persistente aos sistemas afetados.
Exploração de vulnerabilidades
A exploração aproveita a falha do servlet em validar uploads, permitindo que os arquivos sejam gravados diretamente em diretórios acessíveis na Web como/irj/servlet_jsp/irj/root/.
No modo de verificação, o script emprega uma carga útil de desserialização Java para verificação furtiva por meio de testes de segurança de aplicativos fora da banda (OAST), onde um objeto serializado aciona um retorno de chamada para um servidor controlado por atacante sem implantar um shell visível.
Para uma exploração completa, ele muda para o upload de um shell da Web JSP, geralmente codificado no Base64 no script para evitar a detecção, decodificada em tempo de execução e transmitida por solicitações de postagem de multipart/formato de dados.
De acordo com o relatórioa carga útil, como um arquivo helper.jsp, incorpora padrões de injeção de comando usando runtime.getRuntime (). Exec () para executar os comandos do sistema passados por parâmetros de URL como? cmd =, saída de streaming de volta ao atacante.
Os recursos de suporte incluem a análise de argumentos para a varredura multi-alvo, encadeamento para operações simultâneas e opções para manuseio de SSL herdado e o certificado ignorando, tornando-o robusto contra ambientes de rede variados.
A randomização de nomes de arquivos, como gerar cordas alfanuméricas de 8 caracteres ou prefixar pontos para ocultação, aumenta ainda mais a evasão, enquanto a lógica do script garante a compatibilidade com a arquitetura baseada em Java da SAP, potencialmente se estendendo à guerra ou Implantações de jar para persistência avançada.
Medidas defensivas
Os artefatos pós-exploração incluem tráfego HTTP incomum para o ponto de extremidade do metadatauploader, geralmente com as solicitações de Python-requests-agentes e formulários multipartidários contendo nomes de arquivos JSP, juntamente com arquivos inesperados em diretórios SAP exibindo padrões de execução ou hastes conhecidos como 1F72BD2643995FAB4ECF7150B6367FA1B3FAB17AFD2ABED30A98F075E4913087.
Os logs do servidor podem revelar invocações da webshell com comandos codificados, conexões de saída com hosts maliciosos para downloads de ferramentas ou processos anômalos gerados pelo mecanismo SAP Java, como execuções de bash decodificando cargas úteis base64.
A mitigação começa com a aplicação do SAP Security Note 3594142, lançado em abril de 2025, para aplicar os cheques de autorização.
As etapas provisórias envolvem o isolamento da rede do ponto de extremidade, desativando o compositor visual, se não utilizado, e implantando regras do WAF para bloquear uploads suspeitos. Estratégias de detecção enfatizam a varredura para COI usando ferramentas como modelos de núcleos, revisando logs para postagens não autenticadas e monitorando o tráfego de saída.
Regras de detecção de endpoint direcionadas aos processos SAP que lançam conchas ou utilitários de rede fornecem proteção contínua, ressaltando a necessidade de patches rápidos em meio à exploração generalizada por cibercriminosos e atores estaduais desde março de 2025.
AWS Security Services:10-Point Executive Checklist -Download for Free