أُطلق علناً كود استغلال لثغرة حرجة في نظام SAP NetWeaver AS Java Visual Composer، تُعرف بالرمز CVE-2025-31324، ما أدّى إلى استخدامها على نطاق واسع من قبل جهات تهديد مختلفة، بما في ذلك المهاجمون قليلو الخبرة
الثغرة التي أُغلقت في أبريل 2025 تتيح تنفيذ أوامر برمجية عن بُعد دون الحاجة إلى مصادقة، وذلك عبر نقطة تحميل البيانات الوصفية metadata uploader الخاصة بالمنصة. ومع نشر الشيفرة المصدرية الكاملة للاستغلال، أصبحت عملية الاستغلال سهلة وسريعة ولا تتطلب معرفة تقنية متقدمة.
قال جوناثان ستروس، محلل أمن في شركة Pathlock: “مع توافر الشيفرة المصدرية علناً، أصبح بإمكان أي شخص، حتى غير المتخصصين، استغلال الثغرة خلال دقائق”. وأضاف أن أدوات الذكاء الاصطناعي مثل GPT تجعل الأمر أكثر خطورة، حيث تمكن المهاجمين من تسريع الهجوم وتنفيذه بشكل تلقائي.
وأكدت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) أن الاستغلال نشِط حالياً، بإضافتها لهذه الثغرة إلى كتالوج الثغرات المعروفة والمستغلة KEV، ما يدل على وقوع هجمات فعلية. وقد منحت الهيئة الوطنية لإسناد الأسماء CVE لهذه الثغرة درجة CVSS كاملة 10.0، في حين منحها المعهد الوطني لثغرات الأمن 9.8، ما يجعلها من بين أعلى درجات التهديد.
أشار فرانكي سكلافاني، مدير التمكين السيبراني في Deepwatch، إلى أن تقرير فريق Pathlock يُعد “قراءة حرجة لأي مسؤول في الأمن السيبراني بالمؤسسات”، مؤكداً أن التهديد لم يعد نظرياً، بل مثبت فعلياً عبر إضافة الثغرة إلى كتالوج CISA. وحذر قائلاً: “إذا كنت تستخدم هذا البرنامج ولم تقم بتثبيت التحديث، فأنت في خطر حقيقي”.
إلى جانب الثغرة الرئيسة، حذرت Pathlock من ثغرة أخرى ذات صلة تحمل الرمز CVE-2025-42999، تتعلق بعدم أمان عملية deserialize، وقد تم دمجها في سلاسل استغلال مع ثغرة التحميل لتعظيم الأثر.
وقد أصدرت SAP تحديثين أمنيين تحت الرمزين 3594142 و3604119 لمعالجة هذه الثغرات. ويوصي الخبراء بتنفيذ الخطوات التالية على الفور لتقليل المخاطر:
- تطبيق التحديثات الأمنية SAP Security Notes 3594142 و3604119 على جميع نسخ Java
- حظر الوصول إلى نقطة التحميل /developmentserver/metadatauploader أو تقييده بشدة
- فحص سجلات HTTP وعناصر servlet والمؤشرات في أنظمة SIEM للبحث عن مؤشرات اختراق
- في حال الاشتباه بوجود اختراق: عزل الأجهزة المصابة، حفظ الأدلة، تغيير بيانات الاعتماد، وإعادة بناء البيئة من نسخة نظيفة
تقول نيفديتا مورثي، مستشارة أولى في Black Duck: “تكمن خطورة هذه الثغرة في قدرتها على السماح للمهاجمين بالتحرك أفقياً داخل النظام بدون الحاجة إلى مصادقة، وتنفيذ هجمات أكبر داخل بيئة المؤسسة”.
