Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Ransomware su SAP NetWeaver: sfruttato il CVE-2025-31324 per l’esecuzione remota di codice

Sandro Sana : 15 Maggio 2025 10:10

Un’onda d’urto tra vulnerabilità, webshell e gruppi ransomware

Il 14 maggio 2025, il team di intelligence di ReliaQuest ha aggiornato la propria valutazione su una pericolosa vulnerabilità: CVE-2025-31324, una falla di tipo “unrestricted file upload” nel componente SAP NetWeaver Visual Composer, che consente l’esecuzione remota di codice (Remote Code Execution – RCE). Sebbene inizialmente classificata come una semplice “remote file inclusion”, ulteriori analisi hanno rivelato che la natura della falla era decisamente più pericolosa: chiunque, senza autenticazione, poteva caricare file JSP malevoli sul server SAP e ottenere l’accesso remoto.

La piattaforma Recorded Future, in una nota pubblicata il 15 maggio, ha confermato che le campagne di attacco condotte dai gruppi ransomware BianLian e RansomEXX (Defray777) hanno sfruttato attivamente questa vulnerabilità, nonostante SAP avesse già rilasciato una patch il 24 aprile. Il componente coinvolto, va detto, è deprecato dal 2015. Ma come sappiamo bene, nella sicurezza informatica ciò che è vecchio non muore mai… spesso resta esposto, ignorato, e tremendamente vulnerabile.

Cosa dicono i dati: IP, domini e infrastrutture dannose


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Secondo l’analisi condotta da Insikt Group (Recorded Future), le infrastrutture dannose riconducibili agli attacchi includono:

  • Gli indirizzi IP 184.174.96.70 e 184.174.96.74, entrambi classificati con un rischio moderato (30/100).
  • Il dominio dns.telemetrymasterhostname.com, associato alle fasi C2 (command and control) dell’attacco, valutato con un rischio molto alto (66/100).
  • Il prodotto coinvolto: SAP NetWeaver Visual Composer, con un indice di rischio di 66, e classificato come obiettivo critico dell’infrastruttura malevola.
  • La vulnerabilità principale: CVE-2025-31324, che raggiunge un punteggio di rischio massimo pari a 99.

Tutti questi elementi compongono il mosaico tecnico che ha permesso l’esecuzione remota di codice nei sistemi compromessi.

La dinamica dell’attacco: dalle JSP ai payload modulari

Gli attori della minaccia hanno sfruttato l’endpoint /developmentserver/metadatauploader per caricare JSP webshell come helper.jsp, cache.jsp, rrx.jsp, dyceorp.jsp all’interno della directory:

j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root/

Queste webshell consentivano il controllo remoto tramite richieste HTTP GET, permettendo una piena esecuzione di comandi sul server vittima.

Nel caso specifico di RansomEXX, l’infrastruttura di attacco si è dimostrata particolarmente sofisticata: dopo l’upload iniziale, gli attori hanno utilizzato MSBuild per compilare e attivare un backdoor modulare denominata PipeMagic. Questa, a sua volta, ha consentito l’iniezione in memoria del noto framework di red-teaming Brute Ratel, all’interno del processo dllhost.exe. Tutto questo è stato eseguito in modalità stealth, grazie alla tecnica Heaven’s Gate, che permette di passare da 32-bit a 64-bit mode aggirando le difese basate su syscall.

Il ruolo della Cina e la minaccia APT sulle infrastrutture critiche

Non meno rilevante è l’altra faccia di questa minaccia: la componente APT (Advanced Persistent Threat). Il gruppo cinese Chaya_004, secondo Forescout, avrebbe compromesso oltre 581 sistemi SAP NetWeaver non aggiornati e individuato altri 1.800 domini in fase di targeting, inclusi ICS (sistemi di controllo industriale) situati in Stati Uniti, Regno Unito e Arabia Saudita. Altri tre gruppi APT, UNC5221, UNC5174 e CL-STA-0048, avrebbero partecipato a campagne simili, come riportato da CVE-2025-31324-to-target-critical-infrastructures">EclecticIQ.

Questi attacchi indicano un chiaro interesse geopolitico e strategico nei confronti di infrastrutture industriali e sistemi critici occidentali, aggravando l’urgenza di mitigare la vulnerabilità CVE-2025-31324. SAP, parallelamente, ha rilasciato una patch anche per la vulnerabilità CVE-2025-42999, che veniva utilizzata in combinazione per ottenere un impatto maggiore.

Tecniche MITRE ATT&CK associate

Le TTP (Tactics, Techniques, and Procedures) osservate fanno riferimento a una lunga lista di tecniche MITRE ATT&CK, tra cui:

  • T1055.003 – Inject into Process
  • T1202 – Indirect Command Execution
  • T1548.002 – Bypass User Account Control
  • T1071.001 – Application Layer Protocol: Web Protocols
  • T1190Exploit Public-Facing Application
  • T1140 – Deobfuscate/Decode Files or Information
Schermata prelevata dalla piattaforma di intelligence di Recorded Future, partner strategico di Red Hot Cyber

Il vettore d’attacco è chiaro: esposizione pubblica, upload di codice malevolo, comandi remoti, iniezione in memoria e persistente presenza in sistemi compromessi. Una perfetta catena d’infezione in stile APT mista a dinamiche ransomware.

Il prezzo della trascuratezza

Questa campagna mostra, ancora una volta, come l’inerzia nella gestione dei software deprecati e il ritardo nell’applicazione delle patch di sicurezza rappresentino il terreno fertile per minacce sempre più sofisticate. Che si tratti di ransomware o cyber spionaggio, la porta d’ingresso è sempre la stessa: vulnerabilità note, ma ignorate.

Questo articolo si basa su informazioni, integralmente o parzialmente tratte dalla piattaforma di intelligence di Recorded Future, partner strategico di Red Hot Cyber e punto di riferimento globale nell’intelligence sulle minacce informatiche. La piattaforma fornisce analisi avanzate utili a individuare e contrastare attività malevole nel cyberspazio.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Il Red Team Research di TIM scopre 5 CVE su Eclipse GlassFish, una critica (score 9,8)
Di Redazione RHC - 21/07/2025

Giovedì 16 luglio è stata una giornata significativa per i ricercatori di sicurezza informatica del team italiano Red Team Research (RTR) di TIM, che ha visto pubblicate cinque nuove vulnera...

Vulnerabilità in 7-Zip: gli aggressori possono eseguire attacchi di denial-of-service
Di Redazione RHC - 21/07/2025

Una falla critica nella sicurezza, relativa alla corruzione della memoria, è stata individuata nel noto software di archiviazione 7-Zip. Questa vulnerabilità può essere sfruttata da mal...

Escape di ToolShell: la nuova minaccia che colpisce i server Microsoft SharePoint
Di Redazione RHC - 21/07/2025

Una campagna di attacchi informatici avanzati è stata individuata che prende di mira i server Microsoft SharePoint. Questa minaccia si avvale di una serie di vulnerabilità, conosciuta come &...

Robot umanoide cinese sostituisce la propria batteria e lavora 24 ore al giorno
Di Redazione RHC - 20/07/2025

La presentazione del Walker S2 rappresenta un importante passo avanti nell’autonomia operativa dei robot umanoidi. Grazie alla capacità di sostituire autonomamente la propria batteria, il ...

Jen-Hsun Huang: “Sono nato cinese e poi diventato sinoamericano”. Grave errore il ban dei chip AI in Cina
Di Redazione RHC - 19/07/2025

Secondo quanto riportato da Fast Technology il 18 luglio, Jen-Hsun Huang ha raccontato ai media cinesi le proprie origini, spiegando di essere nato cinese e poi diventato sinoamericano. Ha sottolineat...

Iscriviti alla nostra newsletter

Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.

 
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006