Các lỗ hổng được theo dõi là CVE-2025-31324 (điểm CVSS:10.0) và CVE-2025-42999 (điểm CVSS: 9.1), liên quan đến sự cố kiểm tra ủy quyền và lỗi hủy tuần tự hóa không an toàn. Cả hai lỗ hổng này đã được giải quyết bằng các bản vá bảo mật được phát hành vào tháng 4 và tháng 5/2025.

Các nhóm tin tặc mã độc tống tiền như BianLian và RansomEXX, cùng với các tin tặc APT Trung Quốc đã được phát hiện nhắm mục tiêu vào chúng.

Trước đó, trang web về phần mềm độc hại Vx-Underground đã cảnh báo rằng, có tác nhân đe dọa dường như liên quan đến nhóm tội phạm mạng Scattered Spider đã công bố trên Telegram một lỗ hổng mới, được cho là lỗ hổng zero-day nhắm vào các phiên bản SAP NetWeaver.

Sau khi phân tích, công ty bảo mật ứng dụng doanh nghiệp Onapsis (Mỹ) kết luận rằng lỗ hổng này thực chất được xây dựng để liên kết các lỗ hổng đã biết là CVE-2025-31324 và CVE-2025-42999, để thực thi các lệnh hệ thống tùy ý với quyền quản trị viên.

Onapsis giải thích: “Về cơ bản, kẻ tấn công trước tiên sử dụng lỗ hổng xác thực bị thiếu (CVE-2025-31324) để truy cập chức năng quan trọng và chèn mã độc lên máy chủ. Sau đó, chúng khai thác lỗ hổng giải tuần tự hóa không an toàn (CVE-2025-42999) nhằm thực thi mã độc với các đặc quyền của hệ thống SAP”.

Mặc dù khai thác không nhắm vào các lỗ hổng SAP mới, nhưng các phiên bản NetWeaver chưa được vá lỗ hổng CVE-2025-31324 và CVE-2025-42999 vẫn có nguy cơ bị tấn công lần nữa.

Theo dữ liệu từ công ty bảo mật The Shadowserver Foundation (Mỹ), tính đến ngày 18/8/2025, hơn 50 máy chủ NetWeaver vẫn dễ bị tấn công bởi lỗ hổng CVE-2025-31324. Con số này thấp hơn đáng kể so với 400 trường hợp được phát hiện vào cuối tháng 4/2025.