SAP z pilną awaryjną poprawką. To zagrożenie w skali 10 na 10

SAP, niemiecki gigant rynku oprogramowania biznesowego, opublikował właśnie awaryjną poprawkę usuwającą poważną lukę w swoim środowisku NetWeaver. Problem, oceniony na maksymalne 10/10 w skali CVSS, dotyczy komponentu Visual Composer Metadata Uploader i – według specjalistów – mógł być już wykorzystany w atakach typu zero-day.

Luka otrzymała oznaczenie CVE-2025-31324, jednak SAP ograniczył dostęp do szczegółowych informacji na jej temat, udostępniając je jedynie płatnym subskrybentom swoich kanałów bezpieczeństwa.

Co wiemy o luce CVE-2025-31324?

Według wpisu w Krajowej Bazie Danych Podatności (NVD), problem dotyczy braku odpowiednich uprawnień dostępowych w komponencie przesyłania metadanych narzędzia Visual Composer w NetWeaver. Luka umożliwia nieautoryzowanemu napastnikowi przesyłanie potencjalnie złośliwych plików wykonywalnych, co w konsekwencji może prowadzić do pełnego przejęcia kontroli nad systemem.

Eksperci ostrzegają, że taka możliwość stwarza ogromne zagrożenie dla poufności, integralności i dostępności danych w systemach SAP, które są kluczowe dla funkcjonowania firm i instytucji publicznych na całym świecie.

Wykorzystanie luki: alarmujące doniesienia

Firma Onapsis, specjalizująca się w zabezpieczeniach środowisk SAP, potwierdziła, że luka CVE-2025-31324 została już wykorzystana w ramach ataków zero-day. Według ich analizy, napastnicy mogą przejąć pełną kontrolę nad procesami biznesowymi organizacji, wdrażać oprogramowanie ransomware oraz rozprzestrzeniać się w sieci ofiary.

W oficjalnym komunikacie firma Onapsis zaapelowała do klientów SAP:

"Zdecydowanie zalecamy niezwłoczne zastosowanie udostępnionej awaryjnej poprawki i przeprowadzenie audytu systemów pod kątem podatności."

Dodatkowe ślady wskazujące na aktywne wykorzystanie luki dostarczyli również analitycy ReliaQuest, którzy 22 kwietnia poinformowali o serii incydentów związanych z nieautoryzowanym przesyłaniem powłok JSP do środowisk SAP. Co niepokojące, niektóre z zaatakowanych systemów były w pełni zaktualizowane.

Analitycy wskazują, że w atakach wykorzystywano zaawansowane narzędzia, takie jak Brute Ratel (popularny framework do symulacji działań hakerskich) oraz technikę Heaven’s Gate, umożliwiającą ukrycie złośliwego kodu przed detekcją.

Szeroki kontekst zagrożeń

Wstępne przypuszczenia ReliaQuest sugerowały, że ataki mogły wykorzystywać starą lukę (CVE-2017-9844) lub nieznaną wcześniej podatność. Dzisiejsze informacje wskazują, że rzeczywistym wektorem ataku była właśnie CVE-2025-31324.

Eksperci ostrzegają, że luki zero-day w SAP mają ogromne znaczenie strategiczne, ponieważ oprogramowanie to jest wykorzystywane w administracji rządowej, sektorze finansowym oraz dużych korporacjach. W wielu krajach SAP jest szeroko stosowany zarówno w administracji lokalnej, jak i centralnej.

W związku z tym potencjalne skutki ataku ransomware lub kradzieży danych mogą być dramatyczne zarówno dla firm, jak i dla administracji państwowej.