Обновляешь NetWeaver — китайцы уже внутри. Админ ты или гость?

20 компаний из Fortune 500 уже пострадали — остальные просто ещё не проверяли логи.

Исследователи Vedere Labs из Forescout связали масштабную атаку на SAP NetWeaver с китайской хак-группой Chaya_004. Уязвимость CVE-2025-31324 позволяет загружать вредоносные файлы на сервер без авторизации и выполнять произвольный код.

SAP выпустила срочное обновление 24 апреля, но уязвимость уже использовалась задолго до этого. По данным Onapsis и Mandiant, атаки начались ещё в январе. В некоторых случаях бэкдоры ставились даже на полностью обновлённые системы — речь идёт о 0-day уязвимости.

Хакеры использовали китайские инструменты, включая SuperShell, и размещали бэкдоры на серверах облачных провайдеров КНР. В атаке задействованы IP-адреса с самоподписанными сертификатами, имитирующими Cloudflare.

На конец апреля в интернете насчитывалось 1284 уязвимых инсталляций SAP NetWeaver, из них 474 уже взломаны. Shadowserver отслеживает более 200 открытых экземпляров в зоне риска.

CISA включила CVE-2025-31324 в список активно эксплуатируемых уязвимостей. Федеральные ведомства обязаны закрыть брешь до 20 мая.

Рекомендации: срочно обновить NetWeaver, отключить Visual Composer, ограничить загрузку метаданных и мониторить подозрительную активность.