ثغرة خطيرة في SAP NetWeaver تُستغل لنشر Web Shell وإطار Brute Ratel

ثغرة خطيرة في SAP NetWeaver تُستغل لنشر Web Shell وإطار Brute Ratel
ثغرة خطيرة في SAP NetWeaver تُستغل لنشر Web Shell وإطار Brute Ratel
شارك هذا الخبر

كشف باحثون في الأمن السيبراني عن استغلال نشِط لثغرة أمنية جديدة في نظام SAP NetWeaver، تُستخدم في رفع ملفات ضارة من نوع JSP Web Shells بهدف تنفيذ أوامر عن بُعد والسيطرة على الأنظمة المصابة.

ووفقًا لتقرير نشرته شركة ReliaQuest هذا الأسبوع، فإن الهجوم قد يكون مرتبطًا بثغرات معروفة سابقًا مثل CVE-2017-9844، أو ربما يعود إلى ثغرة غير مُبلّغ عنها من نوع إدراج ملفات عن بُعد (RFI). ما يزيد من خطورة الموقف هو أن بعض الأنظمة المتأثرة كانت تعمل بأحدث التحديثات، ما يثير احتمالية وجود ثغرة يوم الصفر (Zero-Day) غير مكتشفة.

 تفاصيل الثغرة

الثغرة تكمن في نقطة النهاية /developmentserver/metadatauploader ضمن بيئة NetWeaver، والتي تسمح لجهات التهديد برفع ملفات Web Shells ضارة إلى المسار servlet_jsp/irj/root/، مما يمنحهم قدرة مستمرة على التحكم عن بعد بالأنظمة وتنفيذ تعليمات برمجية ضارة.

وبحسب التحليل، تُستخدم هذه الثغرة لرفع ملفات دون تفويض، والاحتفاظ بسيطرة مستمرة على الأجهزة المصابة، وتنفيذ أكواد عن بُعد، بالإضافة إلى سرقة بيانات حساسة.

 أدوات وتقنيات متقدمة

تم رصد استخدام Brute Ratel C4 – وهو إطار ما بعد الاستغلال المتطور – في بعض الحوادث، بالإضافة إلى تقنية Heaven’s Gate الشهيرة لتجاوز الحماية على الأجهزة الطرفية.

وفي إحدى الحوادث، لاحظ الباحثون أن المهاجمين استغرقوا عدة أيام للانتقال من الاختراق الأولي إلى تنفيذ مراحل لاحقة من الهجوم، مما يشير إلى احتمال تورط وسطاء الوصول الأولي (IABs) الذين يبيعون الوصول لأنظمة مصابة عبر منتديات الجريمة الإلكترونية.

 قيمة أهداف SAP

أكدت ReliaQuest أن “أنظمة SAP تُستخدم على نطاق واسع من قبل المؤسسات الكبرى والهيئات الحكومية، ما يجعلها أهدافًا مغرية للمهاجمين”. ونظرًا لأن العديد من أنظمة SAP تُثبت محليًا (on-premises)، فإن مسؤولية الحماية تقع على المستخدمين، وغالبًا ما يؤدي التأخر في تطبيق التحديثات إلى تعريض الأنظمة للخطر.

 ثغرة جديدة برمز CVE-2025-31324

بالتزامن مع ذلك، أصدرت SAP تحديثًا لمعالجة ثغرة حرجة جديدة برمز CVE-2025-31324، وحصلت على درجة خطورة قصوى (CVSS: 10.0). تمكن هذه الثغرة المهاجمين غير المصادقين من رفع ملفات تنفيذية ضارة، ما قد يؤدي إلى اختراق النظام بشكل كامل.

ووفقًا لنشرة SAP الأمنية، فإن “مكوّن Metadata Uploader في SAP NetWeaver Visual Composer لا يخضع لأي تحقق من الهوية، ما يسمح برفع ملفات خبيثة دون تفويض.”

وتُرجّح الأدلة أن CVE-2025-31324 هي نفسها الثغرة غير المبلغ عنها سابقًا، والتي كانت ReliaQuest تحقق فيها على أنها ثغرة RFI، قبل أن تؤكد SAP لاحقًا أنها ثغرة رفع ملفات دون قيود.

 تحذيرات سابقة

تأتي هذه التطورات بعد أكثر من شهر على تحذير وكالة الأمن السيبراني الأمريكية CISA بشأن استغلال نشط لثغرة حرجة أخرى في NetWeaver برمز CVE-2017-12637، والتي تسمح بسرقة ملفات إعدادات SAP الحساسة.

توصيات أمنية:

  • تحديث جميع أنظمة SAP NetWeaver بشكل فوري.

  • مراجعة سجلات الأنظمة للبحث عن نشاط مريب في المسارات المذكورة.

  • استخدام أدوات اكتشاف Web Shells ومراقبة الوصول غير المصرح به.

  • تطبيق مبدأ الأقل امتيازًا (Least Privilege) على خدمات SAP.

وسوم
محمد طاهر
محمد طاهر
المقالات: 234

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


انتهت فترة التحقق من reCAPTCHA. يُرجى إعادة تحميل الصفحة.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة