พบเซิร์ฟเวอร์ SAP NetWeaver กว่า 1,200 เครื่องเสี่ยงต่อช่องโหว่ที่กำลังถูกโจมตี

นักวิจัยพบเซิร์ฟเวอร์ SAP NetWeaver ที่เปิดเผยสู่อินเทอร์เน็ตกว่า 1,200 เครื่องมีความเสี่ยงต่อช่องโหว่การอัปโหลดไฟล์ที่ไม่ต้องยืนยันตัวตน ซึ่งกำลังถูกนำไปใช้โจมตีอย่างแพร่หลาย

SAP ได้เปิดเผยช่องโหว่ความรุนแรงสูงสุดในส่วนประกอบ Visual Composer Metadata Uploader ของ SAP NetWeaver ซึ่งติดตามในชื่อ CVE-2025-31324 โดยช่องโหว่นี้อนุญาตให้ผู้โจมตีอัปโหลดไฟล์ที่สามารถประมวลผลได้โดยไม่ต้องยืนยันตัวตน ส่งผลให้สามารถยึดควบคุมระบบได้ทั้งหมด

บริษัทความปลอดภัยหลายแห่ง รวมถึง ReliaQuest, watchTowr และ Onapsis ยืนยันว่าช่องโหว่นี้กำลังถูกนำไปใช้โจมตี โดยผู้โจมตีใช้ช่องโหว่เพื่ออัปโหลด web shell บนเซิร์ฟเวอร์ที่มีช่องโหว่ เช่น “cache.jsp” และ “helper.jsp” นอกจากนี้ บริษัท Onyphe รายงานว่าจากเซิร์ฟเวอร์เสี่ยงทั้งหมด 1,284 เครื่อง มี 474 เครื่องที่ถูกโจมตีไปแล้ว โดยบริษัทขนาดใหญ่ประมาณ 20 แห่งในกลุ่ม Fortune 500/Global 500 อยู่ในกลุ่มเสี่ยง

SAP ได้ออกมาตรการแก้ไขชั่วคราวเมื่อวันที่ 8 เมษายน 2024 ตามด้วยอัปเดตความปลอดภัยที่แก้ไขช่องโหว่ CVE-2025-31324 เมื่อวันที่ 25 เมษายน บริษัทแนะนำให้ผู้ดูแลระบบดำเนินการดังนี้:

1. จำกัดการเข้าถึงเส้นทาง /developmentserver/metadatauploader
2. ปิดการใช้งาน Visual Composer หากไม่ได้ใช้งาน
3. ส่งต่อ log ไปยัง SIEM และสแกนหาไฟล์ที่ไม่ได้รับอนุญาตในเส้นทาง servlet

ที่มา: https://www.bleepingcomputer.com/news/security/over-1-200-sap-netweaver-servers-vulnerable-to-actively-exploited-flaw/