_new.jpg){kind=small}
Bisnis.com, JAKARTA — SAP, perusahaan teknologi yang fokus pada solusi manajemen bisnis, melakukan pembaruan darurat di luar jadwal (out-of-band) untuk NetWeaver guna memperbaiki kerentanan zero-day yang dicurigai sebagai eksekusi kode jarak jauh (Remote Code Execution/RCE). Kerentanan ini sedang aktif dieksploitasi untuk membajak peladen atau server.
SAP NetWeaver adalah platform teknologi yang memungkinkan integrasi berbagai sistem dan aplikasi, baik internal SAP maupun eksternal. Ini berfungsi sebagai lapisan teknologi dasar untuk berbagai aplikasi SAP dan juga dapat digunakan untuk pengembangan dan integrasi khusus.
Kerentanan tersebut, yang dilacak sebagai CVE-2025-31324 dan diberi peringkat kritis (skor CVSS v3: 10.0), adalah kerentanan unggah berkas tanpa autentikasi di SAP NetWeaver Visual Composer, khususnya komponen Metadata Uploader.
Dilansir dari Bleeping Computer, Senin (28/4/2025) kerentanan ini memungkinkan penyerang untuk mengunggah berkas executable berbahaya tanpa perlu masuk (login), yang berpotensi menyebabkan eksekusi kode jarak jauh dan kompromi sistem penuh.
Meskipun buletin dari vendor (SAP) tidak dipublikasikan, ReliaQuest melaporkan awal pekan ini tentang kerentanan yang dieksploitasi secara aktif pada SAP NetWeaver Visual Composer, khususnya endpoint '/developmentserver/metadatauploader', yang sesuai dengan CVE-2025-31324.
ReliaQuest melaporkan bahwa beberapa pelanggan telah dikompromikan melalui unggahan berkas yang tidak sah di SAP NetWeaver. Penyerang mengunggah webshell JSP ke direktori yang dapat diakses publik.
Unggahan ini memungkinkan eksekusi kode jarak jauh melalui permintaan GET sederhana ke berkas JSP, yang memungkinkan eksekusi perintah dari peramban, tindakan manajemen berkas (unggah/unduh), dan lainnya.
Dalam fase pasca-eksploitasi, para penyerang menyebarkan alat red team 'Brute Ratel', teknik penghindaran keamanan 'Heaven's Gate', dan menyuntikkan kode yang dikompilasi MSBuild ke dalam dllhost.exe untuk melakukan serangan secara diam-diam.
