Thông tin tổng quan về lỗ hổng bảo mật CVE-2025-31324 trên SAP NetWeaver
| Mức độ | Critical |
| Sản phẩm | SAP NetWeaver Visual Composer |
| Phiên bản bị ảnh hưởng | Các phiên bản SAP NetWeaver 7.xx và các Service Packs (SPS) được cho là đều bị ảnh hưởng.
Khách hàng có thể kiểm tra thông tin hệ thống SAP tại đường dẫn http://host:port/nwa/sysinfo. Nếu kết quả trả về không có thông tin về phần Visual Composer Framework (VCFRAMEWORK.SCA), hệ thống được cho là không bị ảnh hưởng. |
| Mã lỗi | CVE-2025-31324 |
| Ngày tạo | 10/05/2025 |
Mô tả chi tiết lỗ hổng bảo mật CVE-2025-31324
Tồn tại lỗ hổng bảo mật Missing authorization check tại tính năng Metadata Uploader của thành phần Visual Composer của SAP NetWeaver. Khai thác lỗ hổng thành công cho phép kẻ tấn công không cần xác thực gửi các POST requests đến đường dẫn endpoint /development/metadatauploader thực hiện tải lên các file mã độc, từ đó thực thi các hành vi tấn công tiếp theo.
Lỗ hổng được đánh giá mức độ nghiêm trọng Critical với điểm số CVSS v3 là 10. Hiện tại mã khai thác lỗ hổng đã được public trên Internet:
https://github.com/ODST-Forge/CVE-2025-31324_PoC
https://github.com/Onapsis/Onapsis_CVE-2025-31324_Scanner_Tools
Chiến dịch tấn công lợi dụng CVE-2025-31324
Từ cuối tháng 01/2025, đội ngũ nghiên cứu của Onapsis đã phát hiện các hoạt động rà quét và khai thác lỗ hổng CVE-2025 – 31324. Đến giữa tháng 02/2025, một số cuộc tấn công đã được xác nhận là khai thác thành công lỗ hổng này.
Theo báo cáo từ ReliaQuest và Mandiant, trong tháng 03 và cuối tháng 04/2025, các cuộc tấn công lợi dụng lỗ hổng nói trên tiếp tục diễn ra, với việc triển khai webshell và bộ công cụ Brute Ratel C4 trên các hệ thống bị ảnh hưởng.
Vừa qua, đội ngũ Forescout Vedere Labs đã phát hiện một nhóm tấn công có tên Chaya_004, được cho là đến từ Trung Quốc, đã tiến hành các cuộc tấn công thông qua lợi dụng lỗ hổng CVE-2025-31324.
Kết quả điều tra cho thấy Chaya_004 đã triển khai 1 reverse shell có tên SuperShell được viết bằng Golang tại địa chỉ IP 47.97.42[.]177. Các nhà phân tích cũng tìm thấy nhiều công cụ khác nằm trong cơ sở hạ tầng của nhóm, bao gồm NPS, SoftEther VPN, NHAS, Cobalt Strike, Asset Reconnaisscance Lighthouse (ARL), Pocassit, Gosint và GO Simple Tunnel. Điều tra các địa chỉ IP được sử dụng cũng cho thấy đều đến từ các nhà cung cấp dịch vụ Cloud của Trung Quốc.
Các nạn nhân được xác định đến thời điểm hiện tại bao gồm các công ty, tổ chức trong lĩnh vực năng lượng, sản xuất, truyền thông, dầu khí, dược phẩm, bán lẻ và cơ quan chính phủ.
Theo thống kê, có hơn 1.200 hệ thống dễ bị tấn công, với 474 hệ thống đã bị xâm nhập. CISA đã thêm lỗ hổng này vào danh mục cần xử lý khẩn và yêu cầu các cơ quan liên bang vá hệ thống trước ngày 20/05/2025. Các quản trị viên SAP được khuyến cáo cập nhật bản vá ngay lập tức
Khuyến nghị/Cách khắc phục
NCS khuyến nghị khách hàng cần khẩn trương rà soát các hệ thống có khả năng bị ảnh hưởng và lên kế hoạch cập nhật bản vá bảo mật theo hướng dẫn chính thức từ hãng.
Đối với các hệ thống SAP, khách hàng nên kiểm tra việc sử dụng Visual Composer:
-
Nếu không sử dụng, có thể tắt hoàn toàn tính năng này để giảm thiểu rủi ro.
-
Nếu có sử dụng, NCS khuyến nghị hạn chế quyền truy cập đến đường dẫn endpoint /development/metadatauploader để ngăn chặn khả năng bị khai thác.
Indicators of Compromise (IoCs)
Khách hàng có thể kiểm tra dấu hiệu bị tấn công bằng cách tìm kiếm các file “jsp”, “java”, “class” tại các đường dẫn:
- C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\root
- C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work
- C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work\sync
Webshells
coresap.jsp:
4c9e60cc73e87da4cadc51523690d67549de4902e880974bfacf7f1a8dc40d7d
Helper.jsp:
1f72bd2643995fab4ecf7150b6367fa1b3fab17afd2abed30a98f075e4913087
Cache.jsp:
794cb0a92f51e1387a6b316b8b5ff83d33a51ecf9bf7cc8e88a619ecb64f1dcf
Random 8-character names ([a-z]{8}).jsp:
b3e4c4018f2d18ec93a62f59b5f7341321aff70d08812a4839b762ad3ade74ee
IP Addresses
163.172.146[.]243
212.28.183[.]85
212.47.227[.]221
212.56.34[.]86
31.220.89[.]227
51.15.223[.]138
51.158.64[.]240
51.158.97[.]138
89.117.18[.]228
89.117.18[.]230
94.72.102[.]203
94.72.102[.]225
94.72.102[.]253
Chaya_004 infrastructure
47.97.42[.]177 (Initial SuperShell host)
49.232.93[.]226 (malware distribution node)
8.210.65[.]56 (automated pentest platform)
search-email[.]com (C2 domain)
888e953538ff668104f838120bc4d801c41adb07027db16281402a62f6ec29ef (config ELF binary)
f1e505fe96b8f83c84a20995e992b3794b1882df4954406e227bd7b75f13c779 (svchosts.exe)
Subject DN: C=US, O=Cloudflare, Inc, CN=:3232
Nguồn tham chiếu:
https://onapsis.com/blog/active-exploitation-of-sap-vulnerability-cve-2025-31324/
