Rilevamento CVE-2025-31324: Zero-Day SAP NetWeaver Sotto Attiva Sfruttamento Espone i Sistemi Critici a Esecuzione di Codice Remoto
Indice:
Le vulnerabilità zero-day non sono più rare anomalie—ora sono un’arma fondamentale nell’arsenale dei moderni attaccanti, con un’attività di sfruttamento in aumento anno dopo anno. Secondo il Google Threat Intelligence Group (GTIG), solo nel 2024, 75 vulnerabilità zero-day sono state sfruttate in the wild—un indicatore netto della crescente minaccia ai sistemi essenziali per il business.
Una delle ultime vulnerabilità critiche emerse, CVE-2025-31324, è una falla di caricamento file non autenticato di massima gravità che colpisce SAP NetWeaver, una piattaforma fondamentale ampiamente utilizzata sia dai governi che dalle grandi imprese. Con oltre 1.200 istanze di SAP NetWeaver esposte a internet a rischio, CVE-2025-31324 rappresenta una minaccia significativa, consentendo il compromesso completo del sistema.
Rilevare lo sfruttamento della vulnerabilità CVE-2025-31324
Nel 2024, GTIG ha identificato 33 vulnerabilità zero-day sfruttate in software e dispositivi aziendali—tecnologie utilizzate principalmente in ambienti di business. In particolare, il 44% di tutte le zero-day dell’anno scorso ha preso di mira prodotti aziendali, evidenziando un chiaro aumento del focus degli attaccanti sulle infrastrutture critiche per il business. Per mitigare efficacemente i potenziali rischi, i team di sicurezza devono concentrarsi su strategie di identificazione precoce e risposta rapida che anticipino le minacce emergenti sfruttando le vulnerabilità appena divulgate.
Registrati per la piattaforma SOC Prime e accedi a un set di regole Sigma curate che affrontano i tentativi di sfruttamento di CVE-2025-31324 insieme a un’intera suite di prodotti per l’ingegneria del rilevamento basata sull’IA, l’hunting delle minacce automatizzato e il rilevamento avanzato delle minacce. Premi semplicemente il Esplora Rilevamenti pulsante qui sotto per esplorare subito uno stack di rilevamento pertinente.
Tutte le regole sono compatibili con più tecnologie SIEM, EDR e Data Lake, e mappate a MITRE ATT&CK® per semplificare l’indagine sulle minacce. Inoltre, ciascuna regola è arricchita con ampi metadati, tra cui CTI riferimenti, tempistiche degli attacchi, configurazioni di audit, raccomandazioni sul triage e altro ancora.
I difensori informatici in cerca di contenuti più pertinenti per rilevare gli attacchi informatici che usano vulnerabilità di tendenza possono accedere all’intera collezione degli algoritmi di rilevamento pertinenti cercando Threat Detection Marketplace con il tag “CVE”.
Inoltre, i professionisti della sicurezza possono ottimizzare l’indagine sulle minacce utilizzando Uncoder AI – un IDE privato & copilot per l’ingegneria del rilevamento informata alle minacce – ora completamente gratuito e disponibile senza limiti di token sulle funzionalità AI. Genera algoritmi di rilevamento dai rapporti di minacce grezzi, abilita sweep IOC rapidi in query ottimizzate per le prestazioni, prevedi tag ATT&CK, ottimizza il codice delle query con suggerimenti AI, traducendoli tra più lingue SIEM, EDR e Data Lake.
Analisi di CVE-2025-31324
Divulgata da SAP il 24 aprile 2025 e affrontata nel loro Patch Day di Sicurezza di aprile 2025, CVE-2025-31324 è una vulnerabilità di caricamento file non autenticato che ha un punteggio massimo CVSS v3 di 10.0. La falla deriva da un controllo di autorizzazione mancante nel componente Metadata Uploader, permettendo ad attaccanti non autenticati di inviare richieste POST appositamente create all’endpoint /developmentserver/metadatauploader . Questo porta a caricamenti di file non autorizzati che possono risultare in esecuzione di codice remoto (RCE) e compromissione completa del sistema.
Nonostante la patch in atto, il team Managed Detection and Response (MDR) di Rapid7 ha confermato sfruttamento attivo della vulnerabilità risalente al 27 marzo 2025, in particolare nel settore manifatturiero.
Gli attori delle minacce hanno usato la falla per caricare web shell dannose basate su JSP nella directory:
j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root/, abilitàndo accesso remoto persistente, esecuzione di codice ed esfiltrazione di dati. Queste leggere web shell sono accessibili tramite semplici richieste GET, trasformando efficacemente i server SAP vulnerabili in piattaforme di lancio controllate dagli attaccanti, come indica la ricerca di ReliaQuest.
Alcuni incidenti hanno anche coinvolto l’applicazione di strumenti come Brute Ratel C4 framework di post-sfruttamento, e tecniche di evasione come Heaven’s Gate per bypassare le difese degli endpoint—evidenziando la natura professionale degli attori di minaccia coinvolti.
In particolare, il componente vulnerabile Metadata Uploader è parte dello stack SAP NetWeaver Java, sebbene non sia installato di default. Tuttavia, i ricercatori di Onapsis hanno notato che molte organizzazioni abilitano questa funzionalità per permettere agli specialisti dei processi aziendali di creare applicazioni aziendali senza necessità di codifica tradizionale. L’analisi di Onapsis ha rivelato che gli attaccanti che sfruttano CVE-2025-31324 possono installare web shell che forniscono accesso a livello amministrativo all’intero ambiente SAP, inclusa l’entrata senza restrizioni al database del sistema. Con questo livello di accesso, gli attaccanti possono distribuire ransomware, interrompere le applicazioni SAP, esfiltrare dati o compiere un’ampia gamma di azioni dannose.
Per minimizzare i rischi di sfruttamento di zero-day simili e altri CVE noti, la Piattaforma SOC Prime fornisce ai team di sicurezza un’intera suite di prodotti costruita su una fusione unica di tecnologie, supportata da AI e automazione, e alimentata da threat intel in tempo reale per aiutare le organizzazioni globali attraverso più settori industriali e ambienti diversi a scalare le loro operazioni SOC. Registrati ora per superare le minacce informatiche e rimanere al passo con ogni potenziale attacco informatico contro la tua azienda.
