Haavoittuvuus10/2025CVSS 10CVE-2025-31324 (Ulkoinen linkki)
SAP NetWeaver-ohjelmistokomponentista löydetty haavoittuvuus on kriittinen ja mahdollistaa uhkatoimijalle järjestelmän haltuunoton. Haavoittuvuutta on hyväksikäytetty aktiivisesti ja havaintoja haavoittuvuuden avulla tehdyistä murroista on myös Suomesta. Haavoittuva järjestelmä on syytä päivittää välittömästi ja haavoittuvuudelle mahdollisesti alttiina olleet järjestelmät tutkia murron varalta.
Haavoittuvuuden kohde
Haavoittuvuus vaikuttaa SAP NetWeaver Visual Composer Frameworkin 7.xx-versioihin ja service packeihin.
Mistä on kysymys?
Haavoittuvuus mahdollistaa mielivaltaisen koodin suorittamisen SAP-sovellusta pyörittävällä palvelimella ja palvelimen haltuunoton, sekä mahdollisesti lateraalin liikkeen palvelimelta. Haavoittuvuuden hyväksikäyttö on erittäin triviaalia ja vaatii vain, että haavoittuva komponentti on ollut verkossa saatavilla.
Kyberturvallisuuskeskuksella on tiedossa haavoittuvuuden hyväksikäyttöä Suomessa. Haavoittuvuus on nollapäivähaavoittuvuus ja ensimmäiset hyväksikäytöt ovat tapahtuneet jo maaliskuun puolivälissä, yli kuukausi ennen haavoittuvuuden julkista tiedottamista.
Mitä voin tehdä?
Haavoittuvat järjestelmät on syytä päivittää välittömästi valmistajan ohjeiden mukaisesti. Suosittelemme myös vahvasti, että mahdollisesti haavoittuvuudelle alttiina olleet järjestelmät tutkitaan murtojen varalta. Päivitysten asentaminen ei luonnollisesti korjaa tilannetta, jos tietomurto on ehtinyt tapahtua ennen haavoittuvuuden korjaamista.
Mahdollista tietomurtoa tutkittaessa on muun muassa syytä käydä läpi kaikki palvelimelta löytyvät tiedostot, sekä lokeista haavoittuvaan päätepisteeseen (metadatauploader) kohdistuneet HTTP-pyynnöt.
Ilmoittakaa Kyberturvallisuuskeskukselle, jos teillä on havaintoja haavoittuvuuden vaikutuksista ympäristöissänne, tai jos tarvitsette tukea havaintojenne selvittämisessä. Mikäli avoimesti saatavilla ollutta sovellusta ei ole paikattu ja tutkittu heti, on siihen liittyvää palvelinta lähtökohtaisesti käsiteltävä murrettuna.
Teknistä ja uhkatietoa haavoittuvuudesta
Haavoittuvuus mahdollistaa tiedostojen lähettämisen ja suorittamisen palvelimella ilman käyttäjän autentikointia.
Tekninen selostus ja esimerkki haavoittuvuuden hyväksikäytöstä löytyy ReliaQuestin blogista (Ulkoinen linkki). RedRaysin kirjoituksen (Ulkoinen linkki) mukaan palvelun haavoittuvaisuuden voi helposti tarkastaa kyselemällä mahdollisesti haavoittuvalta sovellusinstanssilta polkua
/developmentserver/metadatauploader
ja jos vastauksena on esim.
FAILED
tai autentikaatiota ei vaadita, palvelu on todennäköisesti haavoittuvainen.
Havaintojemme perusteella haavoittuvuuden avulla järjestelmiin on asennettu ns. webshellejä, eli hyökkääjälle järjestelmän etäkäytön mahdollistavia työkaluja. Hyökkääjä on asettanut JSP-webshellit polkuun servlet_jsp/irj/root/ ja käyttänyt ainakin tiedostonimeä helper.jsp. Rapid7 (Ulkoinen linkki) on havainnut myös muita ja satunnaiselta vaikuttavia tiedostonimiä.
Aiheesta on myös uutisoitu laajasti. Uutisia löytää esimerkiksi NVD:n CVE-2025-31324 -artikkelista (Ulkoinen linkki) ja CVE-numerolla hakemalla. Linkki valmistajan tiedotteeseen (saatavilla vain kirjautumalla) löytyy myös NVD:n artikkelista.