Крупнейшие группировки вымогателей начали активно эксплуатировать уязвимость в SAP NetWeaver, получившую идентификатор CVE-2025-31324 и оценку CVSS: 10.0. С её помощью злоумышленники могут загружать вредоносные файлы на серверы без прохождения аутентификации, что открывает путь к удалённому выполнению кода и полной компрометации систем.
Компания SAP выпустила экстренное обновление 24 апреля, спустя всего несколько дней после того, как специалисты ReliaQuest зафиксировали активное использование уязвимости в реальных атаках. Сегодня ReliaQuest сообщила, что к эксплуатации уязвимости подключились операторы вымогательских программ RansomEXX и BianLian. Хотя шифровальщики пока не были успешно задействованы, это сигнализирует об усилении интереса со стороны киберпреступников к NetWeaver.
По данным ReliaQuest, группа BianLian была связана как минимум с одним инцидентом. Связь установлена на основании IP-адреса, ранее использовавшегося в инфраструктуре команды. В атаке RansomEXX применялся модульный бэкдор PipeMagic, а также уязвимость Windows CLFS (CVE-2025-29824), известная по прошлым кампаниям этой группировки. Первоначальная попытка развернуть вредоносное ПО через вебшеллы helper.jsp и cache.jsp завершилась неудачей, но позже хакеры воспользовались фреймворком Brute Ratel, внедрив его через inline-задачу MSBuild.
Параллельно с этим, атаки продолжают и кибергруппы, связанные с Китаем. Была зафиксирована активность группировки Chaya_004, а EclecticIQ сообщила о целенаправленных атаках со стороны UNC5221, UNC5174 и CL-STA-0048. Судя по открытым файлам на одном из незашищённых серверов атакующих, китайские хакеры уже встроили бэкдоры в как минимум 581 инстанс SAP NetWeaver, включая инфраструктуру Великобритании, США и Саудовской Аравии. Кроме того, в списке на атаку значится ещё 1 800 доменов.
По данным Forescout, такие бэкдоры позволяют получить долгосрочный доступ к системам и могут быть использованы для достижения стратегических целей, включая военные, разведывательные и экономические интересы КНР. Особенно тревожит то, что компрометированные системы SAP тесно интегрированы с промышленными системами управления (ICS), что создаёт угрозу бокового перемещения и серьёзных сбоев.
На фоне обострения ситуации, SAP также закрыла вторую уязвимость – CVE-2025-42999 – использовавшуюся в цепочках атак ещё с марта в режиме нулевого дня. Администраторам настоятельно рекомендуется немедленно установить обновления безопасности, либо временно отключить компонент Visual Composer, если обновление невозможно. Дополнительно следует ограничить доступ к сервисам загрузки метаданных и тщательно отслеживать подозрительную активность.
Агентство CISA добавило уязвимость CVE-2025-31324 в каталог KEV, потребовав от всех федеральных структур устранить её до 20 мая в рамках директивы BOD 22-01 . В предупреждении CISA подчёркивается, что подобные уязвимости часто становятся точкой входа для атакующих и представляют серьёзную угрозу для всей инфраструктуры.