exploit عام للثغرات المتسلسلة في SAP يعرض الأنظمة غير المصححة لتنفيذ التعليمات عن بُعد
مايسترو نيرو / التجسس الإلكتروني
ظهر exploit جديد يجمع بين ثغرتين حرجه تم إصلاحها حديثًا في SAP NetWeaver، مما يعرض المؤسسات لخطر اختراق النظام وسرقة البيانات.
يجمع Exploit المعروض في سلسلة الثغرتين CVE-2025-31324 و CVE-2025-42999 لتجاوز المصادقة وتحقيق تنفيذ التعليمات عن بُعد، وفقًا لشركة أمن SAP Onapsis.
- CVE-2025-31324 (CVSS score: 10.0) - التحقق المفقود من التفويض في خادم Visual Composer لتطوير SAP NetWeaver
- CVE-2025-42999 (CVSS score: 9.1) - Deserialization غير آمن في خادم Visual Composer لتطوير SAP NetWeaver
تم معالجة الثغرتين بواسطة SAP في أبريل ومايو 2025، لكن ليس قبل أن يستغلهما المهاجمون كثغرات صفرية منذ مارس على الأقل.
تم ملاحظة عدة مجموعات فدية وابتزاز بيانات، بما في ذلك Qilin، و BianLian، و RansomExx، وهي تستغل الثغرتين، وليس ذلك فحسب، بل عدة طواقم تجسس مرتبطة بالصين استخدمتها أيضًا في هجمات تستهدف شبكات البنية التحتية الحيوية.
التهديد الجديد:
تم الإبلاغ عن وجود exploit لأول مرة الأسبوع الماضي بواسطة vx-underground، الذي قال إنها أُطلقت بواسطة Scattered Lapsus$ Hunters، وهو تحالف جديد يتكون من Scattered Spider و ShinyHunters.
"تسمح هذه الثغرات لمهاجم غير مصدق بتنفيذ أوامر تعسفية على نظام SAP المستهدف، بما في ذلك رفع ملفات عشوائية،" قال Onapsis. "يمكن أن يؤدي هذا إلى تنفيذ تعليمات عن بُعد (RCE) واستحواذ كامل على النظام المتأثر وبيانات وعمليات SAP التجارية."
أضافت الشركة أن exploit لا يمكن استخدامه فقط لنشر web shells، بل يمكن أيضًا استغلاله لتنفيذ هجمات "العيش من الأرض" (LotL) عن طريق تنفيذ أوامر نظام التشغيل مباشرة دون الحاجة إلى إسقاط أدوات إضافية على النظام المخترق. تُنفذ هذه الأوامر بامتيازات مسؤول SAP، مما يمنح المهاجمين وصولًا غير مصرح به إلى بيانات ومصادر نظام SAP.
سلسلة الهجوم:
بشكل خاص، تستخدم سلسلة الهجوم أولاً CVE-2025-31324 لتجاوز المصادقة ورفع الحمولة الضارة إلى الخادم. ثم يتم استغلال ثغرة Deserialization (CVE-2025-42999) لفك ضغط الحمولة وتنفيذها بأذونات مرتفعة.
"إن نشر هذا gadget الخاص بالـ deserialization أمر مقلق بشكل خاص بسبب حقيقة أنه يمكن إعادة استخدامه في سياقات أخرى، مثل استغلال ثغرات الـ deserialization التي أصلحتها SAP مؤخرًا في يوليو،" حذرت Onapsis.
وهذا يشمل -
- CVE-2025-30012 (CVSS score: 10.0)
- CVE-2025-42963 (CVSS score: 9.1)
- CVE-2025-42964 (CVSS score: 9.1)
- CVE-2025-42966 (CVSS score: 9.1)
- CVE-2025-42980 (CVSS score: 9.1)
وصف الشركة المهاجمين بأنهم يمتلكون معرفة واسعة بتطبيقات SAP، وحثت مستخدمي SAP على تطبيق أحدث الإصلاحات في أسرع وقت ممكن، ومراجعة وتقييد الوصول إلى تطبيقات SAP من الإنترنت، ومراقبة تطبيقات SAP لأي علامات على الاختراق.
آخر تحديث: 7 أكتوبر 2025