40
كشف باحثون أمنيون عن استغلال ثغرة جديدة غير مصرح بها سابقاً في SAP NetWeaver تسمح للمهاجمين بتحميل ملفات ضارة وتنفيذ أكواد خبيثة على الأنظمة المستهدفة، مع وجود أدلة على هجمات نشطة بالفعل.
تفاصيل الثغرة (CVE-2025-31324)
- معدل الخطورة: 10/10 (CVSS)
- المكون المتأثر: Metadata Uploader في SAP NetWeaver
- نقطة النهاية: /developmentserver/metadatauploader
- طريقة الاستغلال: طلبات POST غير مصرح بها
- الامتيازات: وصول كامل بصلاحيات
<sid>adm - النطاق: أنظمة SAP على-premise
- الحالة: هجمات نشطة تم رصدها
كيف يتم استغلال الثغرة؟
| المرحلة | التفاصيل |
| 1. الوصول الأولي | إرسال طلب POST مصمم خصيصاً لنقطة النهاية المعرضة للخطر |
| 2. تحميل Web Shell | تحميل ملف JSP خبيث في مسار servlet_jsp/irj/root/ |
| 3. التنفيذ المستمر | الحصول على وصول دائم وتنفيذ أوامر عن بُعد |
| 4. التصعيد | استخدام أدوات مثل Brute Ratel C4 وتقنية Heaven’s Gate |
رأي الخبراء
“كشف تحليلنا عن نمط مقلق، حيث يستغل المهاجمون ثغرة معروفة ويقترنونها بتقنيات متطورة لتعظيم تأثيرهم. أنظمة SAP تستخدم عادة من قبل الوكالات الحكومية والشركات الكبرى، مما يجعلها أهدافاً عالية القيمة.”
– تقرير ReliaQuest
مؤشرات الاختراق (IoCs)
يجب فحص المسارات التالية للكشف عن أي اختراقات محتملة:
C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\rootC:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\workC:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work\sync
إجراءات الحماية الموصى بها
إجراءات فورية:
- تطبيق آخر التحديثات الأمنية من SAP
- تعطيل نقطة النهاية
/metadatauploaderإذا لم تكن ضرورية - مراجعة سجلات الوصول للكشف عن أنشطة مشبوهة
إجراءات طويلة الأجل:
- تنفيذ مبدأ الحد الأدنى من الصلاحيات
- تفعيل المراقبة المستمرة لأنظمة SAP
- تدريب الفرق الأمنية على تهديدات SAP الحديثة
