Хакеры штурмуют SAP: опасная уязвимость превращает Linux в марионетку
Исследователи кибербезопасности из Unit 42 (подразделение Palo Alto Networks) выявили новую вредоносную программу для Linux под названием Auto-Color. Эта вредоносная программа действует как бэкдор — инструмент, позволяющий злоумышленникам удалённо управлять системой, выполнять любые команды, загружать и изменять файлы, а также подстраивать настройки по своему усмотрению. Хитрость Auto-Color в том, что после установки она переименовывает себя, чтобы её было сложно обнаружить в системе.
Главная проблема — способ проникновения этого вредоноса. До недавнего времени специалистам не удавалось выяснить, как Auto-Color заражает целевые системы. Но после анализа инцидента в одной американской химической компании (дело расследовали эксперты Darktrace) выяснилось: исходным пунктом заражения оказалась критическая уязвимость в SAP NetWeaver — технологической платформе, на базе которой работает множество корпоративных приложений SAP.
“Дыра” была обнаружена в элементе Visual Composer Metadata Uploader, в котором отсутствовала нормальная проверка прав доступа. Это позволяло любому, у кого был доступ к интерфейсу, загружать опасные исполняемые файлы на сервер организации. Уязвимость получила идентификатор CVE-2025-31324 и критическую оценку 9.8 из 10 по шкале угроз.
SAP закрыла дыру только в конце апреля 2025 года, когда атаки уже были замечены в дикой природе. Среди злоумышленников, активно использующих уязвимость, оказались даже группировки, связанные с Китаем. Подтверждения атакам предоставили сразу несколько известных киберфирм: ReliaQuest, Onapsis, watchTowr, Mandiant.
Ещё один тревожный факт: если управляющий командный сервер Auto-Color недоступен, вредонос почти не проявляет активности, затаившись до поступления новых инструкций. Именно эта тактика усложняет обнаружение заражения.
Эксперты настоятельно рекомендуют администраторам Linux-систем и корпоративных приложений SAP срочно установить патч, а также перепроверить безопасность всех компонентов. В противном случае, последствия для компаний могут быть разрушительными — от полного контроля над инфраструктурой со стороны злоумышленников до массивных утечек данных или саботажа производства. Игнорировать такие вещи — значит добровольно открывать дверь для хакеров.
SAP снова умудрился нарваться на киберскандал. Всё очень современно: критическая уязвимость, корпоративные платформы, слово China в обвиняемых. Какая прелесть: еще одна дырка, позволяющая кем-то управлять вашей инфраструктурой из-за границы. Виноват Visual Composer Metadata Uploader – интерфейс, в который можно было несанкционированно загрузить что угодно, если знаешь куда стучаться. Оценку ей поставили почти максимальную – 9.8 баллов, что на языке ИБ-шников означает «пиши завещание». SAP с патчем протянула почти до начала майских, наблюдая, как конкуренты из кибербезопасности снимают новые черные шляпы с китайских хакеров. Это ведь, конечно, просто совпадение, что хладнокровные специалисты именно на китайцев указывают – поди проверь из глубин серверной.
Интересно и другое: бэкдор, именуемый Auto-Color, так хитёр, что даже когда его заводской штаб затыкается, он просто залегает на дно и молча ждёт. Таким не кладёшь пеленку – его не услышишь, пока не получит команду наружу. Это не мелкие шалости, а опасные прецеденты для корпоративной безопасности и российских пользователей, учитывая, что SAP использует почти каждый второй крупный бизнес.
А теперь вдумайтесь: если кто-то экономит на обновлениях или не гоняет админов чекать уязвимости, значит, он либо выдаёт себя за безразличие, либо подыгрывает атакующим – пусть даже по глупости. Мораль? Там, где SAP, всегда есть риск понадеяться на «а вдруг прокатит». А прокатывает только у чужих.