Gli attori di minacce stanno sfruttando una nuova vulnerabilità in SAP NetWeaver per caricare web shell JSP, con l'obiettivo di facilitare il caricamento non autorizzato di file ed eseguire codice. Secondo un rapporto pubblicato da ReliaQuest, l'exploit potrebbe essere legato a una vulnerabilità già nota come CVE-2017-9844 o a un problema di inclusione remota di file (RFI) non riportato. La possibilità di una zero-day è suggerita dal fatto che molti dei sistemi compromessi erano aggiornati con le ultime patch.

Il difetto è radicato nell'endpoint "/developmentserver/metadatauploader" nell'ambiente NetWeaver, permettendo agli attori di minacce sconosciuti di caricare web shell JSP malevoli nel percorso "servlet_jsp/irj/root/" per un accesso remoto persistente e per distribuire payload aggiuntivi. In termini semplici, la web shell JSP leggera è configurata per caricare file non autorizzati, consentire il controllo radicato sugli host infetti, eseguire codice remoto e sifonare dati sensibili.

Incidenti selezionati hanno utilizzato il framework di post-exploitation Brute Ratel C4, oltre a una tecnica nota come Heaven's Gate per aggirare le protezioni degli endpoint. In almeno un caso, gli attori di minaccia hanno impiegato diversi giorni per passare dall'accesso iniziale riuscito allo sfruttamento successivo, suggerendo che l'attaccante potrebbe essere un broker di accesso iniziale (IAB) che ottiene e vende accesso a gruppi di minacce su forum sotterranei.

La vulnerabilità è sfruttabile tramite richieste POST accuratamente costruite che mirano all'endpoint vulnerabile senza richiedere alcuna autenticazione. Onapsis ha confermato che la vulnerabilità consente agli attori di minacce di caricare web shell sui sistemi vulnerabili, concedendo loro la capacità di eseguire comandi arbitrari nel contesto di sistema con i privilegi dell'utente del sistema operativo <sid>adm.

Gli utenti sono invitati a verificare la presenza di indicatori di compromissione per determinare se sono stati colpiti e a utilizzare i modelli nuclei rilasciati da ProjectDiscovery per rilevare la vulnerabilità e determinare se le loro istanze sono compromesse dalla backdoor della web shell JSP utilizzata dagli attori di minaccia.