Gölge sunucuları, vahşi doğada aktif olarak sömürülen kritik bir sıfır günlük güvenlik açığına karşı savunmasız 454 SAP NetWeaver sistemini tanımladı.
CVE-2025-31324 olarak izlenen güvenlik açığı, kimlik doğrulanmamış saldırganların etkilenen sistemlere kötü amaçlı dosyalar yüklemesini sağlar ve potansiyel olarak tam sistem uzlaşmasına yol açar.
10.0 maksimum CVSS şiddet puanı taşıyan kritik kusur, SAP NetWeaver Visual Composer’ın meta veri yükleyici bileşenini etkiler. Nisan 2025’te olay müdahale faaliyetleri sırasında Reliaquest güvenlik araştırmacıları tarafından keşfedilen güvenlik açığı, tam olarak paketlenmiş SAP kurulumları yapan kuruluşlara yönelik saldırılarda zaten silahlandırılmıştır.
.png
)
Güvenlik açığı, uygun yetkilendirme kontrollerinden yoksun olan ve saldırganların kamuya erişilebilir dizinlere JSP web kabuklarını yüklemesine izin veren “/geliştirme şirketi/metadatuploader” uç noktasını hedefler.
Saldırı Metodolojisi
Sömürü tekniği, meta veri yükleyici bileşeninde eksik bir yetkilendirme kontrolünden yararlanır ve saldırganların kimlik doğrulaması olmadan potansiyel olarak kötü niyetli yürütülebilir dosyaları yüklemesini sağlar. Bu güvenlik açığı CWE-434 (tehlikeli tipte sınırsız yükleme) olarak sınıflandırılır.
Güvenlik araştırmacıları, gözlemlenen bazı saldırılarda, tehdit aktörlerinin kaba Ratel C4 çerçevesi de dahil olmak üzere sofistike sömürü sonrası araçlar kullandığını ve uç nokta koruma önlemlerini atlamak için cennetin kapısı gibi kaçırma tekniklerini kullandığını belirtiyorlar.
Güvenlik açığı, Onapsis’ten yapılan araştırmaya göre, varsayılan olarak yüklenmemiş, ancak Java sistemlerinin yaklaşık% 50-70’inde bulunan SAP NetWeaver Visual Composer’ı etkiler. Meydan okuduktan sonra, etkilenen sistemler ek kötü amaçlı yazılım dağıtmak, kalıcı erişim sağlamak ve hassas verileri yaymak için kullanılabilir.
Vahagn Vardanian Redrays, “Güvenlik açığı özellikle tehlikelidir, çünkü kimlik doğrulaması gerektirmez, yürütülmesi nispeten basittir, kullanıcı etkileşimi gerektirmez ve potansiyel olarak etkilenen sistem üzerinde tam kontrol vermez” diye açıkladı.
Hafifletme
SAP, 24 Nisan 2025’te normal yama döngüsünün dışında güvenlik notu 3594142 aracılığıyla bir acil durum yaması yayınladı. Kuruluşlar, bu yamayı derhal uygulamaya veya SAP not 3593336’da açıklanan geçici geçici çözümü uygulamaya teşvik edilir.
Sistemlerinizin savunmasız olup olmadığını belirlemek için:
- “/Geliştirme Seri/MetaTauploader” URL yolunun kimlik doğrulaması olmadan erişilebilir olup olmadığını test edin
- Bu uç noktaya yetkisiz erişim denemeleri için web sunucusu günlüklerini inceleyin
- Web sunucusu günlüklerinde beklenmedik dosya yüklemelerini kontrol edin
- SAP Sistemlerinden Yetkisiz Giden Bağlantıları Monitör
Güvenlik uzmanları, bunun en yüksek öncelikli güvenlik güncellemesi olarak ele alınmasını ve sağlanan yamaları mümkün olan en kısa sürede uygulamanızı önerir. Hemen yama yapamayan kuruluşlar için, risk maruziyetini en aza indirmek için önerilen geçici çözümlerin ve gelişmiş izlemenin uygulanması çok önemlidir.
SAP sistemlerini kullanan kuruluşların, benzer tehditlere gelecekte maruz kalmayı en aza indirmek için uygun güvenlik izlemesini uygulamaları ve düzenli yama programlarını sürdürmeleri tavsiye edilir.
SOC ve DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.