Lỗ hổng zero-day nghiêm trọng CVE-2025-31324 (CVSS 10.0)đang bị tin tặc tích cực khai thác ngoài thực tế để tấn công các hệ thống sử dụng SAP NetWeaver Visual Composer MetadataUploader. Đây là một lỗ hổng đặc biệt nguy hiểm khi cho phép kẻ tấn công không cần xác thực vẫn có thể tải lên và thực thi mã độc từ xa, qua đó dễ dàng chiếm toàn bộ quyền kiểm soát máy chủ mục tiêu.
Trong các cuộc điều tra gần đây, các chuyên gia an ninh mạng phát hiện tin tặc đã triển khai nhiều webshell và tích hợp các công cụ điều khiển từ xa (C2 frameworks) nhằm duy trì sự hiện diện trong hệ thống bị xâm phạm. Điều đáng lo ngại là ngay cả những hệ thống đã cập nhật các gói vá mới nhất từ SAP cũng không tránh khỏi việc bị khai thác. Kẻ tấn công đã lợi dụng endpoint để tải mã độc lên hệ thống, đưa chúng vào thư mục cho phép thực thi mã từ xa chỉ bằng các yêu cầu GET đơn giản.
Từ điểm xâm nhập ban đầu, tin tặc nhanh chóng mở rộng quyền kiểm soát bằng cách sử dụng các kỹ thuật tinh vi. Một trong số đó là Brute Ratel – framework điều khiển từ xa chuyên biệt, cho phép tiêm payload vào tiến trình hợp pháp để tránh bị phát hiện và đảm bảo duy trì quyền truy cập, giúp né tránh các giải pháp giám sát hành vi.
Đáng chú ý hơn, trong nhiều trường hợp, tin tặc không hành động ngay sau khi xâm nhập mà chờ đợi trong một khoảng thời gian, cho thấy dấu hiệu của hoạt động đến từ các nhóm môi giới truy cập ban đầu (Initial Access Brokers – IABs). Những nhóm này thường không trực tiếp khai thác tài nguyên mà thay vào đó bán quyền truy cập cho các tổ chức tội phạm mạng khác để triển khai các cuộc tấn công sau đó.
Trước những rủi ro đáng báo động, các chuyên gia khuyến cáo tất cả tổ chức đang sử dụng SAP NetWeaver cần nhanh chóng triển khai bản vá bảo mật mới nhất từ SAP. Song song với đó, việc tăng cường giám sát hệ thống, đặc biệt là các giao diện có thể truy cập từ internet.
