CVE‑2025‑31324 è una vulnerabilità zero‑day critica (CVSS 10.0) nel componente Visual Composer (VCFRAMEWORK) di SAP NetWeaver, resa pubblica il 22 aprile 2025. SAP ha rilasciato una patch di emergenza il 24 aprile 2025. SAP NetWeaver Visual Composer è spesso abilitato nei sistemi NetWeaver Java—anche se non installato di default—perché consente agli analisti aziendali di creare applicazioni senza scrivere codice. La vulnerabilità è stata osservata in fase di sfruttamento attivo a partire da metà marzo 2025: gli aggressori hanno distribuito webshell JSP (es. helper.jsp, cache.jsp) per mantenere la persistenza ed eseguire comandi con i privilegi del processo SAP di sistema.

Riassunto tecnico

La falla deriva da un controllo di autorizzazione mancante nell’endpoint /developmentserver/metadatauploader di Visual Composer, che consente ad aggressori non autenticati di caricare file arbitrari sul server — comportando un’esecuzione di codice da remoto (RCE) con i privilegi applicativi SAP. Dopo lo sfruttamento, gli attaccanti solitamente depositano webshell JSP malevoli in directory come /j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root/, ottenendo accesso remoto e controllo completo del sistema (sia in ambienti Linux che Windows). L’impatto include la compromissione completa dell’ambiente SAP: gli attaccanti possono eseguire comandi di sistema, accedere ai database, alterare dati finanziari o PII, distribuire ransomware, effettuare movimenti laterali nella rete ed eludere le difese. Tutte le versioni di SAP NetWeaver Java 7.1x e superiori sono vulnerabili se Visual Composer è presente o abilitato.

Raccomandazioni

• Applicare immediatamente la SAP Security Note 3594142: fornisce patch di emergenza per correggere l’assenza del controllo di autorizzazione in Visual Composer.
• Applicare anche la SAP Security Note 3604119 che risolve una vulnerabilità aggiuntiva di deserializzazione insicura, eliminando rischi residui lasciati dalla prima patch — anche se la Note 3594142 è già stata implementata.
• Se non è possibile applicare la patch, attuare la mitigazione “Opzione 0”: rimuovere completamente l’applicazione sap.com/devserver_metadataupload_ear come raccomandato da SAP. Le precedenti soluzioni temporanee, opzioni 1 e 2, sono deprecate.
• Eseguire una valutazione di compromissione utilizzando scanner o strumenti disponibili per individuare Indicatori di Compromissione (IoC) — cercare file .jsp, .java, .class insoliti nelle directory rilevanti e nomi noti di webshell come helper.jsp o cache.jsp.
• Verificare i log di accesso HTTP mirati all’endpoint /developmentserver/metadatauploader per individuare tentativi di sfruttamento. Utilizzare riconoscimento basato su pattern o nomi di file per rilevare attività di webshell.
• Per la difesa di rete, implementare protezioni come regole firewall o rilevamento basato su firme per bloccare i tentativi di sfruttamento, e utilizzare strumenti di rilevamento asset per identificare endpoint SAP NetWeaver esposti.