Aktor ancaman kemungkinan mengeksploitasi kerentanan baru di SAP Netweaver untuk mengunggah shell JSP dengan tujuan memfasilitasi pengunggahan file yang tidak sah dan eksekusi kode.
“Eksploitasi kemungkinan terkait dengan kerentanan yang sebelumnya diungkapkan seperti CVE-2017-9844 atau masalah inklusi file jarak jauh yang tidak dilaporkan (RFI),” kata Reliaquest dalam sebuah laporan yang diterbitkan minggu ini.
Cybersecurity mengatakan kemungkinan nol-hari berasal dari fakta bahwa beberapa sistem yang terkena dampak sudah menjalankan tambalan terbaru.
Kelemahan tersebut dinilai berakar pada titik akhir “/DevelopmentServer/Metadatauploader” di lingkungan NetWeaver, memungkinkan aktor ancaman yang tidak diketahui untuk mengunggah jalur web berbasis JSP yang berbahaya di “servlet_jsp/irj/root/” jalur untuk akses remote yang persisten dan memberikan muatan tambahan tambahan.
Dengan kata lain, Shell JSP Web yang ringan dikonfigurasi untuk mengunggah file yang tidak sah, memungkinkan kontrol yang mengakar atas host yang terinfeksi, menjalankan kode jarak jauh, dan data sensitif siphon.
Insiden tertentu telah diamati menggunakan kerangka kerja pasca eksploitasi Brute Ratel C4, serta teknik terkenal yang disebut Gerbang Surga untuk memotong perlindungan titik akhir.
Setidaknya dalam satu kasus, para aktor ancaman membutuhkan waktu beberapa hari untuk maju dari akses awal yang sukses ke eksploitasi tindak lanjut, meningkatkan kemungkinan bahwa penyerang mungkin merupakan broker akses awal (IAB) yang memperoleh dan menjual akses ke kelompok ancaman lainnya di forum bawah tanah.
“Investigasi kami mengungkapkan pola yang mengganggu, menunjukkan bahwa musuh memanfaatkan eksploitasi yang diketahui dan memasangkannya dengan campuran teknik yang berkembang untuk memaksimalkan dampaknya,” kata Reliaquest.
“Solusi SAP sering digunakan oleh lembaga dan perusahaan pemerintah, menjadikannya target bernilai tinggi untuk penyerang. Karena solusi SAP sering digunakan di tempat, langkah-langkah keamanan untuk sistem ini diserahkan kepada pengguna; pembaruan dan tambalan yang tidak diterapkan segera akan mengekspos sistem ini untuk risiko kompromi yang lebih besar.”
Secara kebetulan, SAP juga telah merilis pembaruan untuk mengatasi cacat keamanan keparahan maksimum (CVE-2025-31324, skor CVSS: 10.0) yang dapat dieksploitasi oleh penyerang untuk mengunggah file yang sewenang-wenang.
“SAP Netweaver Visual Composer Metadata Uneader tidak dilindungi dengan otorisasi yang tepat, memungkinkan agen yang tidak otentikasi untuk mengunggah biner yang dapat dieksekusi yang berpotensi berbahaya yang dapat sangat membahayakan sistem host,” sebuah penasihat untuk kerentanan yang dibaca.
Kemungkinan CVE-2025-31324 mengacu pada cacat keamanan yang tidak dilaporkan yang sama mengingat bahwa yang pertama juga mempengaruhi komponen pengunggah metadata.
Pengungkapan itu datang sedikit lebih dari sebulan setelah Cybersecurity dan Infrastructure Security Agency (CISA) AS memperingatkan eksploitasi aktif dari cacat netweaver tingkat tinggi lainnya (CVE-2017-12637) yang dapat memungkinkan penyerang untuk mendapatkan file konfigurasi SAP yang sensitif.
Memperbarui
Reliaquest telah mengkonfirmasi kepada Hacker News bahwa aktivitas jahat yang dirinci di atas memang memanfaatkan kerentanan keamanan baru yang sekarang sedang dilacak sebagai CVE-2025-31324.
“Kerentanan ini, yang kami identifikasi selama penyelidikan kami yang diterbitkan pada 22 April 2025, pada awalnya diduga menjadi masalah inklusi file jarak jauh (RFI),” kata perusahaan itu. “Namun, SAP kemudian mengkonfirmasi sebagai kerentanan unggahan file yang tidak terbatas, memungkinkan penyerang untuk mengunggah file jahat langsung ke sistem tanpa otorisasi.”
(Kisah ini diperbarui setelah publikasi untuk mengkonfirmasi eksploitasi kelemahan nol-hari baru.)
