SAP NetWeaver Visual Composer’da (CVE-2025-31324) kritik bir uzaktan kod yürütme güvenlik açığı, Çin tehdit oyuncusu tarafından dünya çapında kurumsal sistemleri tehlikeye atmak için aktif olarak kullanılmaktadır.
Güvenlik açığı, saldırganların korunmasız /geliştirmeler /metadatuploader uç noktası aracılığıyla kötü amaçlı web mermileri yükleyerek uzaktan kod yürütülmesine izin verir.
Sömürü, öncelikle tehlikeye atılan SAP sistemlerinin önemli operasyonel aksamalara ve güvenlik ihlallerine yol açabileceği üretim ortamlarını hedefleyen gözlemlenmiştir.
.png
)
CHAYA_004 olarak izlenen tehdit oyuncusu, en az 29 Nisan 2025’ten beri, kavram kanıtı istismarlarının kamuya açık hale gelmesinden kısa bir süre sonra bu güvenlik açığından yararlanıyor.
Saldırı altyapıları, Alibaba, Tencent ve Huawei Cloud Services dahil olmak üzere Çinli bulut sağlayıcılarını ağır bir şekilde kullanıyor.
Bu kampanya, tutarlı yapılandırma modellerini paylaşan 700’den fazla tanımlanmış IP adresi ile altyapı dağıtımına sofistike bir yaklaşım göstermektedir.
Forescout araştırmacıları, saldırılardan birinden “Config” adlı bir Elf ikili olarak kurtarıldıktan sonra kötü niyetli altyapıyı belirlediler.
İkili, bir Supershell oturum açma arabirimini barındıran bir IP adresi içeriyordu ve bu da olağandışı sertifika yapılandırmalarını paylaşan yüzlerce ek IP adresinin keşfedilmesine yol açtı.
Sertifikalar, ayırt edici bir konu DN özniteliği ile bulutflare taklit eden anormal kendi kendine imzalı özellikler kullanıldı.
Sömürme modeli, savunmasız uç noktaya yönelik sonrası istekleri, ardından “Helper.jsp”, “Cache.jsp” gibi adlarla web kabuklarının dağıtımını veya “Ssonkfrd.jsp” gibi randomize sekiz harfli dosya adlarını içerir.
Bir kez kurulduktan sonra, bu arka kapı saldırganların aşağıdaki saldırı sırasında gösterildiği gibi Curl komutlarını kullanarak ek kötü amaçlı yükler indirmelerini sağlar:-
POST /developmentserver/metadatauploader HTTP/1.1
Host: [target]
Content-Type: multipart/form-data; boundary=---------------------------9051914041544843365972754266
Content-Length: [length]
-----------------------------9051914041544843365972754266
Content-Disposition: form-data; name="file"; filename="webshell.jsp"
Content-Type: application/octet-stream
-----------------------------9051914041544843365972754266--Konuşlandırılan Supershell Backdoors, saldırganlara kapsamlı sistem erişimi sağlar, bu da hizmet uç noktalarını, hasat kimlik bilgilerini ve potansiyel olarak daha kritik SAP bileşenlerine dönmelerine olanak tanır.
Birincil arka kapı arayüzü, 8888 numaralı bağlantı noktasında, birden fazla tehlikeye atılan sistemde ayırt edici “/supershell/giriş” yolu ile tanımlanmıştır.
Etkilenen SAP sürümlerini yürüten kuruluşların, Nisan 2025 Patch Günü’nde hemen yayınlanan güvenlik yamalarını uygulamaya şiddetle güçlük verilmektedir.
Önerilen ek azaltma, meta veri yükleyici hizmetlerine erişimin kısıtlanması, kullanılmayan Web hizmetlerinin devre dışı bırakılması ve özellikle normal bakım pencerelerinin dışında SAP sistemlerine anormal erişim için gerçek zamanlı izlemenin uygulanması yer alır.
Are you from the SOC and DFIR Teams? – Analyse Real time Malware Incidents with ANY.RUN -> Start Now for Free.