SAP NetWeaver Visual Composer 7.x’te CVE-2025-31324 olarak tanımlanan kritik bir uzaktan kod yürütme (RCE) güvenlik açığı, Chaya_004 olarak izlenen bir Çin tehdit oyuncusu tarafından aktif olarak kullanılmaktadır.
Bu seansizasyon kusuru, saldırganların web mermileri de dahil olmak üzere kötü niyetli ikili dosyaları yüklemeye izin vermeleri, tam sistem devralma özellikleri vermesi.
Forescout’tan yapılan araştırmaya göre, en az 29 Nisan 2025’ten beri sömürü gözlemlenmiştir ve savunmasız /geliştirmeler /metadatuplloader uç noktasını hedefleyen taramalar.
.png
)
Saldırılar öncelikle tehlikeye atılan SAP sistemlerinin işlemleri bozabileceği ve hassas verileri ortaya çıkarabileceği üretim ortamlarını etkiledi.
Kritik SAP Netweaver Kususu
Rapora göre, Forescout’un soruşturması, muhtemelen Çin dışında faaliyet gösteren Chaya_004 ile bağlantılı genişleyen kötü niyetli bir altyapı ortaya çıkardı.
Ağ, Alibaba ve Tencent gibi Çinli bulut sağlayıcılarında barındırılan sunucuları içerir ve Supershell-A GO tabanlı ters kabuğu, birincil arka kapı olarak “TDragon6” adlı Çince konuşan bir kodlayıcı tarafından geliştirilen GO tabanlı ters kabuğu kullanır.
NP’ler (bir intranet penetrasyon proxy), NHA’lar (bir penetrasyon testi araç seti) ve kobalt grevi gibi ek araçlar, Cloudflare’yi taklit eden tutarlı anormal kendi kendine imzalı sertifikalarla 787 IP adresinde tanımlandı.
Özellikle, “yapılandırma” adlı bir ELF ikili ve bir kötü amaçlı yazılım örneği olan svchosts.exe, araştırmacıları 47.97.42.177 ve 8.210.65.56 gibi IP’lerde barındırılan C2 alanlarına ve otomatik penetrasyon test platformlarına yönlendirdi.
Sömürü kalıpları, Helper.jsp veya randomize 8 harfli varyantlar gibi web mermileri dağıtmak için post istekleri kullanan saldırganları gösterir ve bunu genellikle ek yükler almak için curl komutları izler.
Potansiyel serpinti, hizmet aksaması, kimlik bilgisi hırsızlığı, HANA veritabanları gibi kritik SAP bileşenlerine yanal hareket ve GDPR veya HIPAA altındaki düzenleyici ihlalleri içerir.
Chaya_004 altyapı
Forescout’un analizi, savunmasız uç noktalar için 37 benzersiz IP taraması ve müşteri ağlarında sömürü denemeye çalışan 13 IPS taraması ile fırsatçı taramalar ve hedefli kampanyalar önermektedir.
İkincisi, genellikle tehdit aktörleri tarafından istismar edilen Scaleway (AS12876) ve Contabo (AS51167) gibi ASN’lere kadar izledi.
SAP, NetWeaver için Netweaver için Nisan 2025’te Yamalar yayınladı.
Ek hafifletmeler arasında meta veri yükleyici hizmetlerine erişimin kısıtlanması, gerekli olmayan görsel besteci örneklerinin devre dışı bırakılması ve bakım pencerelerinin dışındaki anormal aktivitenin izlenmesini içerir.
Forescout, OT/Eye-Ge-Focus ve Eyealert platformlarını algılama mantığı, tehdit istihbarat entegrasyonu ve bu tehditle mücadele etmek için gerçek zamanlı uyarıyı geliştirdi.
Uzlaşma Göstergeleri (IOCS)
Aşağıda, Forescout Vedere Labs tarafından sağlanan CVE-2025-31324 sömürüsü ile ilişkili temel IOC’ler verilmiştir:
| IOC | Tanım |
|---|---|
| 47.97.42.177 | İlk Supershell Host |
| 49.232.93.226 | Kötü amaçlı yazılım dağıtım düğümü |
| 8.210.65.56 | Otomatik Pentest Platform |
| arama[.]com | C2 Alanı |
| 888e953538ff668104f838120bc4d801c41ad07027db16281402a62f6ec29ef | Yapılandırma elf ikili karma |
| F155FE96B8F83C84A20995E992B3794B182DF495440E227B7B75F13C79 | svchosts.exe kötü amaçlı yazılım karma |
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir