กลุ่มผู้ไม่หวังดีอาจกำลังใช้ช่องโหว่ใหม่ใน SAP NetWeaver เพื่ออัปโหลด JSP web shells โดยมีเป้าหมายเพื่ออัปโหลดไฟล์ และเรียกใช้โค้ดที่เป็นอันตรายโดยไม่ได้รับอนุญาต
ReliaQuest ระบุว่า "การโจมตีนี้อาจเกี่ยวข้องกับช่องโหว่ที่ถูกเปิดเผยมาก่อนหน้านี้ คือ CVE-2017-9844 หรือช่องโหว่ Remote File Inclusion (RFI) ที่ยังไม่ได้ถูกรายงาน"
บริษัทด้านความปลอดภัยทางไซเบอร์ระบุว่า "ความเป็นไปได้ที่จะเป็นการโจมตีแบบ zero-day มาจากข้อเท็จจริงที่ว่าหลายระบบที่ได้รับผลกระทบมีการติดตั้งแพตช์ล่าสุดไปแล้ว"
ช่องโหว่นี้คาดว่ามีต้นตออยู่ที่ endpoint ชื่อว่า "/developmentserver/metadatauploader" ภายใน SAP NetWeaver environment ซึ่งอาจทำให้ผู้ไม่หวังดีสามารถอัปโหลด JSP-based web shell ที่เป็นอันตรายไปยัง path "servlet_jsp/irj/root/" เพื่อให้สามารถเข้าถึงระบบจากระยะไกลได้อย่างถาวร และดำเนินการ payloads อื่น ๆ เพิ่มเติมได้
อธิบายได้อีกอย่างคือ web shell แบบ JSP ที่มีขนาดเล็ก ถูกกำหนดค่าให้สามารถอัปโหลดไฟล์โดยไม่ได้รับอนุญาตได้ ซึ่งเมื่อถูกเปิดใช้งาน จะสามารถควบคุมระบบที่ติดมัลแวร์ได้อย่างถาวร, สามารถเรียกใช้คำสั่งจากระยะไกล และขโมยข้อมูลที่มีความสำคัญได้
มีการตรวจพบบางเหตุการณ์ที่พบว่ามีการใช้ framework Brute Ratel C4 สำหรับขั้นตอนหลังการโจมตี รวมถึงเทคนิคที่เป็นที่รู้จักอย่าง Heaven's Gate เพื่อหลบเลี่ยงมาตรการป้องกันของอุปกรณ์ด้านความปลอดภัย
อย่างน้อยในหนึ่งกรณี พบว่าผู้ไม่หวังดีใช้เวลาหลายวันในการดำเนินการจากการเข้าถึงระบบในครั้งแรกได้สำเร็จไปสู่การโจมตีในขั้นต่อไป ซึ่งแสดงให้เห็นความเป็นไปได้ว่าผู้โจมตีอาจเป็น Initial Access Broker หรือ IAB ที่ทำหน้าที่เจาะระบบก่อน แล้วขายสิทธิ์การเข้าถึงให้กับกลุ่มแฮ็กเกอร์อื่นในฟอรัมใต้ดิน
ReliaQuest ระบุว่า “การสืบสวนของบริษัทพบรูปแบบที่น่ากังวล ซึ่งแสดงให้เห็นว่าผู้โจมตีกำลังใช้ช่องโหว่ที่รู้จักร่วมกับเทคนิคใหม่ ๆ ที่มีการพัฒนาอย่างต่อเนื่อง เพื่อให้การโจมตีมีประสิทธิภาพสูงสุด”
“SAP มักถูกใช้โดยหน่วยงานรัฐบาล และองค์กรขนาดใหญ่ จึงเป็นเป้าหมายที่มีมูลค่าสูงสำหรับผู้โจมตี และเนื่องจาก SAP มักถูกติดตั้งแบบ on-premises การรักษาความปลอดภัยของระบบเหล่านี้จึงขึ้นอยู่กับผู้ใช้งานเอง ซึ่งหากไม่มีการอัปเดต หรือติดตั้งแพตช์อย่างทันท่วงที ก็มีความเสี่ยงสูงที่จะถูกโจมตีได้สำเร็จ”
นอกจากนี้ SAP ได้ออกการอัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ที่มีความรุนแรงสูงสุด (CVE-2025-31324, คะแนน CVSS: 10.0) ซึ่งผู้โจมตีสามารถใช้ประโยชน์เพื่ออัปโหลดไฟล์ใด ๆ ก็ได้เข้าสู่ระบบ
คำแนะนำด้านความปลอดภัยระบุว่า “ตัวอัปโหลดข้อมูล Metadata ของ SAP NetWeaver Visual Composer ไม่มีการป้องกันด้วยระบบ authorization ที่เหมาะสม ทำให้ผู้ไม่หวังดีที่ยังไม่ได้ผ่านการยืนยันตัวตน สามารถอัปโหลดไฟล์ binaries ที่อาจเป็นอันตรายได้ ซึ่งอาจสร้างความเสียหายรุนแรงต่อ host system ได้”
เป็นไปได้ว่า CVE-2025-31324 จะเกี่ยวข้องกับช่องโหว่ที่ยังไม่ได้ถูกเปิดเผยอย่างเป็นทางการ เนื่องจากส่งผลกระทบต่อ component เดียวกันคือ Metadata Uploader โดย The Hacker News ได้ติดต่อ ReliaQuest เพื่อขอความเห็นเพิ่มเติม และจะอัปเดตข่าวนี้หากได้รับการตอบกลับ
การเปิดเผยช่องโหว่นี้เกิดขึ้นหลังจากที่ CISA ได้ออกคำเตือนเมื่อไม่นานมานี้ เกี่ยวกับการโจมตีช่องโหว่ NetWeaver ที่มีระดับความรุนแรงสูงอีกช่องโหว่หนึ่ง (CVE-2017-12637) ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงไฟล์การตั้งค่าที่สำคัญของ SAP ได้
ที่มา : thehackernews.