SAP NetWeaver’ı etkileyen yakın zamanda açıklanan kritik güvenlik kusuru, kritik altyapı ağlarını hedeflemek için birden fazla Çin-Nexus ulus devlet aktörü tarafından kullanılmaktadır.
Eclecticiq araştırmacısı Arda Sayukkaya bugün yayınlanan bir analizde, “Aktörler, uzaktan kod yürütülmesini (RCE) sağlayan kimlik doğrulanmamış bir dosya yükleme güvenlik açığı olan CVE-2025-31324’ten yararlandı.” Dedi.
Kampanyanın hedefleri arasında doğal gaz dağıtım ağları, İngiltere’deki entegre atık yönetimi kamu hizmetleri, tıbbi cihaz üretim tesisleri ABD’deki petrol ve gaz arama ve üretim şirketleri ve Suudi Arabistan’daki yatırım stratejisi ve finansal düzenlemeden sorumlu devlet bakanlıkları bulunmaktadır.
Bulgular, saldırgan kontrollü altyapı üzerinde ortaya çıkarılan halka açık bir dizine dayanmaktadır (“15.204.56[.]106 “) birden fazla tehlikeye atılan sistemde faaliyetleri yakalayan olay günlükleri içermektedir.
Hollanda siber güvenlik şirketi, müdahaleleri, sonuncusu, kamuya açık II’ler, apache tomcat ve MS-SQL sunucularındaki bilinen vaftizcilerden yararlanarak, Güney Asya’daki yüksek değer hedeflerini hedefleyen saldırılara bağlı olan UNC5221, UNC5174 ve CL-S-S-0048 olarak izlenen Çin tehdit faaliyet kümelerine bağladı.
Ayrıca, kategorize edilmemiş bir Çin-Nexus tehdit oyuncusu SAP NetWeaver Systems’a karşı yaygın bir İnternet tarama ve sömürü kampanyası yürüttüğünü kaydetti. “15.204.56” IP adresinde barındırılan sunucu[.]106 “, – dahil olmak üzere birden fazla dosya içerdiği bulunmuştur –
- “CVE-2025-31324-Results.txt”, 581 SAP NetWeaver örneği kaydetti ve bir web kabuğuyla tehlikeye atıldı ve geri yüklendi
- “服务数据 _20250427_212229.txt”, gelecekteki hedefleme için muhtemel SAP NetWeaver’ı çalıştıran 800 alanı listeleyen
Bilökkaya, “Maruz kalan açık DIR altyapısı, onaylanmış ihlalleri ortaya koyuyor ve grubun planlanan hedeflerini vurguluyor ve hem geçmiş hem de gelecekteki operasyonlar hakkında açık bir fikir sunuyor.”
CVE-2025-31324’ün sömürülmesini, enfekte olmuş sistemlere kalıcı uzaktan erişimi korumak ve keyfi komutlar yürütmek için tasarlanmış iki web kabuğu uygulayan tehdit oyuncusu izler.
Buna ek olarak, uzaktan erişimi sürdürme, keşif yapma ve kötü amaçlı programlar bırakma çabalarının bir parçası olarak SAP Netweaver güvenlik açığından yararlanan üç farklı Çin hack grubunun gözlendiği gözlenmiştir –
- “43.247.135’e etkileşimli bir ters kabuk oluşturmaya çalışan CL-S-Sta-0048[.]53, “Tehdit oyuncusu tarafından kullanılan daha önce tanımlanan bir IP adresi
- Şerit gibi ikinci aşamalı yükler sunmak, kalıcılık kurmak ve kabuk komutları yürütmek için kullanılabilen pas tabanlı bir kötü amaçlı yazılım olan KrustyLoader’ı dağıtmak için bir web kabuğundan yararlanan UNC5221
- UNC5174, bir web kabuğundan yararlanan Snowlight’ı indirmek için, Vshell adlı Go tabanlı bir uzaktan erişim Truva atı ve Gorverse olarak bilinen bir arka kapı almak için sabit kodlu bir sunucu ile bağlantı başlatan bir yükleyici,
Buykaya, “Çin bağlantılı APT’lerin küresel olarak kritik altyapı ağlarına uzun vadeli stratejik ve kalıcılık erişimi oluşturmak için internete maruz kalan kurumsal uygulamaları ve Edge cihazlarını hedeflemeye devam etme olasılığı yüksektir.” Dedi.
“SAP NetWeaver gibi yaygın olarak kullanılan platformlara odaklanmaları stratejik bir harekettir, çünkü bu sistemler kurumsal ortamlara derinden entegre ediliyor ve genellikle açılmamış güvenlik açıklarına ev sahipliği yapıyor.”
SAP Yamaları Yeni Netweaver Kusur Mayıs 2025 Yaması
Açıklama, Chaya_004 adlı başka bir Çin bağlantılı isimsiz tehdit aktörünün, Supershell adlı Go tabanlı bir ters kabuk dağıtmak için CVE-2025-31324’ün sömürülmesine atfedilmesinden günler sonra geliyor.
SAP güvenlik firması Onapsis, “şu anda kararmış olan orijinal saldırganlar tarafından yerleştirilen Web mermilerini tetiklemek ve kötüye kullanmak için kamu bilgilerini kullanan saldırganlardan önemli bir etkinlik gördüğünü” söyledi.
Bu saldırıların daha fazla analizi, Netweaver’ın görsel besteci meta veri yükleyici bileşeninde başka bir kritik kusurun keşfedilmesine yol açmıştır. CVE-2025-42999 (CVSS Puanı: 9.1) olarak izlenir, ayrıcalıklı bir kullanıcı tarafından güvenilmeyen veya kötü niyetli içerik yüklemek için sömürülebilen bir seans oluşturma kırılganlığı olarak tanımlanmıştır.
Devam eden aktif sömürü ışığında, SAP NetWeaver müşterilerinin örneklerini en kısa sürede en kısa sürede güncellemeleri önerilir.