Ракетный запуск на SAP: Хакеры и вымогатели ведут охоту
Проблемы с SAP NetWeaver усугубляются, так как к атаке подключились группировки-вымогатели. Несколько операторов программ-вымогателей пытаются воспользоваться недавно обнаруженной уязвимостью максимальной степени тяжести, затрагивающей SAP NetWeaver Visual Composer. По информации компании ReliaQuest, занимающейся кибербезопасностью и также сообщившей о первоначальной уязвимости, более 1200 SAP-экземпляров находятся под угрозой захвата. Это связано с максимальной степенью уязвимости, найденной в компоненте Metadata Uploader Visual Composer. Проблема возникла из-за того, что загрузчик не имел должной защиты авторизации, что позволяло неаутентифицированным злоумышленникам загружать вредоносные исполняемые файлы.
Уязвимость отслеживается как CVE-2025-31324, и, хотя SAP быстро выпустила патч, было зафиксировано несколько атак в дикой природе. ReliaQuest сообщила, что увидела улики, указывающие на участие BianLian и RansomEXX — двух известных семей ransomware. Другие исследователи также утверждают, что к атаке были причастны спонсируемые государством китайские актеры. "Мы с умеренной уверенностью оцениваем, что BianLian была вовлечена, как минимум, в один инцидент", — сказала ReliaQuest. "В отдельном инциденте мы наблюдали развертывание 'PipeMagic', модульной задней двери, связанной с RansomEXX."
Исследователи также отметили, что злоумышленники действовали быстро, развернув вредоносное ПО "в считанные часы после глобальной эксплуатации". На протяжении этой недели SAP исправила отдельную, также критическую, нулевую уязвимость в сервере NetWeaver. Эта уязвимость, как заявляет компания, была связана с атаками, нацеленными на некоторые из крупнейших мировых предприятий. Она отслеживается как CVE-2025-42999 и имеет оценку критичности 9.1/10. Также найденная в загрузчике Metadata Uploader, эта уязвимость позволяет привилегированному пользователю загружать непроверенный или вредоносный контент, который может привести к компрометации конфиденциальности, целостности и доступности хост-системы. SAP заявила, что обнаружила эту уязвимость при анализе уязвимости максимальной степени тяжести. Обе они, как утверждается, использовались в атаках с января 2025 года.
Как же приятно наблюдать, как глубокие проблемы с SAP NetWeaver наконец-то привлекли внимание толпы наших доблестных кибератакующих — тех самых, кто подмечает уязвимости не ради веселого времяпрепровождения, а с целью завладеть чужими активами. Рынок наводнен талантливыми нужноизвлекателями прибылей, и теперь владельцы уязвимого ПО страдают от "внимания" двуличных группировок-вымогателей, таких как BianLian и RansomEXX.
Странно, как все совпало — SAP обнаруживает уязвимости с "максимальной степенью тяжести", а всякий раз, когда такая новость появляется, на горизонте застывают зловещие тени киберпреступников. Более 1200 экземпляров системы SAP находятся под угрозой, что по сути равноценно выставлению таблицы "Вход свободный" на дверях офиса, где работают самые крупные мировые предприятия. Интересно, сколько процентов из них уже успели обновить свою станцию очередным патчем? Варианты "12%-1200" просто забавляют.
А тем временем, кто бы мог подумать — ReliaQuest, объявившая о проблеме, уже готовит почву для следующего раунда "А мы знаем, кто здесь главный". Спонсируемые государством китайские актеры и их "изящные" игры с ransomware становятся темой номер один для обсуждений бизнесменов с тревожным рвением — все помнят, как конфликт с Востоком меняет ориентиры на рынке кибербезопасности. Классика жанра: "нас атакуют проникновения из недр Боярского"/"обкрадывает дядька на дне лужи".
Но что-то подсказывает, что владельцы платформы, в зависимости от своих "связей", решат проблему с патчами чуть быстрее и, возможно, в сотрудничестве со структурами, которых они бы предпочли не упоминать. Как же сложно быть спокойным, зная, что при любой возможности скрытые связи взорвутся, как фейерверк при больших праздниках.
А SAP, тем временем, с гордостью представляет: "Мы быстро выпустили патч!". Интересно, как быстро этот патч успеет добраться до серверов, учитывая, что злоумышленники "развернули вредоносное ПО всего за несколько часов"? Успех программного обеспечения в его критичности — совершенно точно такой же, как удача лучшего пожарного, потушившего огонь… после того, как дом сгорел дотла.
Итог таков — уязвимость, отслеживаемая как CVE-2025-31324, открывает двери не только для киберcriminalов, но и для адвокатов бизнеса, которые с восторгом сядут разбирать всё это на ток-шоу о киберугрозах. Научитесь, бизнес-менеджеры, от этой "веселой" катастрофы, чтобы вы не стали героями следующего громкого расследования — интерес к этой теме точно не утихнет.