-
09/04/2020
-
110
-
1.053 bài viết
CVE-2025-31324: Lỗ hổng Zero-Day SAP NetWeaver cho phép thực thi mã từ xa
Một lỗ hổng zero-day nghiêm trọng vừa được phát hiện trong thành phần Visual Composer Metadata Uploader của SAP NetWeaver, cho phép tin tặc tải tệp trái phép trực tiếp lên máy chủ SAP, từ đó chiếm quyền thực thi mã từ xa dưới các tài khoản dịch vụ đặc quyền cao, tạo ra nguy cơ gián đoạn và tổn thất nghiêm trọng cho các doanh nghiệp.
Lỗ hổng có mã định danh CVE-2025-31324, được đánh giá với điểm CVSS 10.0, xuất phát từ việc endpoint /developmentserver/metadatauploader trong SAP NetWeaver Visual Composer Metadata Uploader không kiểm tra quyền truy cập đối với các tệp được tải lên.
Khai thác lỗ hổng CVE-2025-31324 được tự động hóa thông qua một script Python, tận dụng việc thiếu kiểm tra quyền truy cập trên endpoint /developmentserver/metadatauploader. Script hỗ trợ cả chế độ kiểm tra và khai thác. Trong chế độ kiểm tra, nó gửi payload Java deserialization (thường mã hóa Base64) để xác minh lỗ hổng một cách âm thầm qua cơ chế OAST mà không cần tải web shell. Khi khai thác thực tế, script tải một web shell JSP vào thư mục /irj/servlet_jsp/irj/root/, cho phép thực thi lệnh từ xa thông qua các yêu cầu HTTP với tham số query-string.
Để né tránh phát hiện, payload và web shell được mã hóa Base64, tên file có thể ngẫu nhiên hóa hoặc ngụy trang (ví dụ: .webhelper.jsp), trong khi chuỗi User-Agent “python-requests” xuất hiện trong log trở thành chỉ dấu quan trọng giúp đội ngũ phòng thủ nhận diện tấn công. Script cũng hỗ trợ quét song song nhiều host, giúp tấn công đồng thời nhiều mục tiêu nhanh chóng.
Chuỗi tấn công diễn ra qua các bước quen thuộc: truy cập ban đầu bằng việc tải tệp độc hại, cấy web shell, thực thi lệnh từ xa và duy trì quyền kiểm soát. Chỉ số xâm nhập có thể nhận diện qua các yêu cầu POST bất thường đến endpoint /developmentserver/metadatauploader, sự xuất hiện của các tệp JSP lạ trong thư mục SAP, và các tiến trình đáng ngờ chạy dưới tài khoản SAP Java.
SAP đã phát hành bản vá trong Security Note 3594142 để xử lý triệt để lỗ hổng. Các tổ chức chưa kịp cập nhật cần triển khai biện pháp phòng thủ tạm thời như:
Lỗ hổng có mã định danh CVE-2025-31324, được đánh giá với điểm CVSS 10.0, xuất phát từ việc endpoint /developmentserver/metadatauploader trong SAP NetWeaver Visual Composer Metadata Uploader không kiểm tra quyền truy cập đối với các tệp được tải lên.
Khai thác lỗ hổng CVE-2025-31324 được tự động hóa thông qua một script Python, tận dụng việc thiếu kiểm tra quyền truy cập trên endpoint /developmentserver/metadatauploader. Script hỗ trợ cả chế độ kiểm tra và khai thác. Trong chế độ kiểm tra, nó gửi payload Java deserialization (thường mã hóa Base64) để xác minh lỗ hổng một cách âm thầm qua cơ chế OAST mà không cần tải web shell. Khi khai thác thực tế, script tải một web shell JSP vào thư mục /irj/servlet_jsp/irj/root/, cho phép thực thi lệnh từ xa thông qua các yêu cầu HTTP với tham số query-string.
Để né tránh phát hiện, payload và web shell được mã hóa Base64, tên file có thể ngẫu nhiên hóa hoặc ngụy trang (ví dụ: .webhelper.jsp), trong khi chuỗi User-Agent “python-requests” xuất hiện trong log trở thành chỉ dấu quan trọng giúp đội ngũ phòng thủ nhận diện tấn công. Script cũng hỗ trợ quét song song nhiều host, giúp tấn công đồng thời nhiều mục tiêu nhanh chóng.
Chuỗi tấn công diễn ra qua các bước quen thuộc: truy cập ban đầu bằng việc tải tệp độc hại, cấy web shell, thực thi lệnh từ xa và duy trì quyền kiểm soát. Chỉ số xâm nhập có thể nhận diện qua các yêu cầu POST bất thường đến endpoint /developmentserver/metadatauploader, sự xuất hiện của các tệp JSP lạ trong thư mục SAP, và các tiến trình đáng ngờ chạy dưới tài khoản SAP Java.
SAP đã phát hành bản vá trong Security Note 3594142 để xử lý triệt để lỗ hổng. Các tổ chức chưa kịp cập nhật cần triển khai biện pháp phòng thủ tạm thời như:
- Chặn truy cập endpoint nguy cơ cao: Hạn chế hoặc tắt truy cập tới /developmentserver/metadatauploader cho tới khi bản vá được triển khai.
- Thiết lập quy tắc WAF: Sử dụng tường lửa ứng dụng web để lọc các yêu cầu độc hại, đặc biệt là các payload Base64 và file JSP bất thường.
- Giám sát log chi tiết: Phát hiện các hoạt động đáng ngờ, bao gồm các POST lạ, các payload serialization hoặc tên file JSP bất thường.
- Rà soát file hệ thống: Kiểm tra các file JSP mới hoặc không xác định trong thư mục /irj/servlet_jsp/irj/root/ và các vị trí hệ thống khác.
- Theo dõi tiến trình hệ thống: Nhận diện các tiến trình bất thường hoặc các lệnh được gọi qua web shell để phản ứng kịp thời.
Theo Cyber Press
Chỉnh sửa lần cuối: