פרצת אבטחה ב-SAP מאפשרת לתוקפים להשתלט על המערכת מרחוק

תמונה: Pixabay

במהלך סוף השבוע התגלתה פרצת Zero-day חמורה ב-SAP NetWeaver Visual Composer, שמאפשרת לתוקפים להשתלט על שרתים מבלי להזדקק לאימות בסיסי. מדובר באיום מיידי שמוביל לפגיעה במידע רגיש, ולכן SAP שחררה עדכון חירום ולא חיכתה לעדכון החודשי הקבוע.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

שליטה מלאה בלי צורך באימות

הפרצה, שסומנה תחת השם CVE-2025-31324 ודורגה ברמת סיכון 10.0 (הציון הגבוה ביותר במדד CVSS), מאפשרת להעלות קבצים זדוניים לשרתים ללא כל צורך באימות. בכך, היא מעניקה לתוקפים אפשרות להריץ קוד מרחוק ולהשתלט לחלוטין על המערכות הפגיעות.

לפי הדיווחים, תוקפים מנצלים את הפגיעות כדי להעלות קבצים זדוניים (JSP Webshells) לשרתי SAP NetWeaver, ולהריץ פקודות ישירות מהדפדפן ללא צורך בהרשאות או בזיהוי משתמש.

טקטיקות מתקדמות להסתרה

לאחר החדירה, התוקפים השתמשו בכלי Red Team מתקדם בשם Brute Ratel, הפעילו את טכניקת עיקוף האבטחה הידועה Heaven’s Gate ואז הזריקו קוד זדוני שהורכב באמצעות MSBuild אל תוך תהליך המערכת dllhost.exe. כל אלו נועדו להסתיר את פעילותם ולהקשות על זיהוי הנוכחות שלהם בשרתים.

בתגובה לאיום, SAP פרסמה עדכון חירום למשתמשי Visual Composer Framework וממליצה ליישם אותו באופן מיידי. חשוב להדגיש כי העדכון שוחרר לאחר עדכון אפריל 2025 הרגיל, כך שמשתמשים שהתקינו את העדכון בתחילת החודש עדיין חשופים לפרצה.

בנוסף לפרצה המרכזית, עדכון החירום מתקן שתי פרצות קריטיות נוספות: CVE-2025-27429 (הזרקת קוד ב-SAP S/4HANA) ו-CVE-2025-31330 (הזרקת קוד ב-SAP Landscape Transformation).

טענת החברה: פרצת האבטחה לא נוצלה

בעקבות פנייה של האתר bleepingcomputer במהלך סוף השבוע, דובר SAP טען כי "החולשה לא נוצלה בפועל. SAP קיבלה דיווח על פרצת אבטחה ב-SAP NETWEAVER Visual Composer, אשר עשויה הייתה לאפשר הרצת קוד לא מאומת ולא מורשה ב-Java Servlet מסוימים. החברה אינה מודעת לכך שמידע של לקוחות או מערכות של החברה נפגעו כתוצאה מהפרצות הללו. פתרון ביניים פורסם ב-8 באפריל 2025, וכרגע זמין גם תיקון מלא. מומלץ ללקוחות להחיל את התיקון באופן מיידי". למרות הודעת הדובר, ברשת מדווחים כי חברות סייבר זיהו על ניסיונות לנצל את הפרצה.