CISA, 29 Nisan 2025’te bilinen sömürülen güvenlik açıkları (KEV) kataloğuna kritik bir SAP NetWeaver güvenlik açığı ekledi.
CVE-2025-31324 olarak izlenen sıfır gün kusuru, maksimum CVSS skoru 10.0 taşır ve en azından Mart 2025’ten beri vahşi doğada aktif olarak sömürülmüştür.
CVE-2025-31324: Kritik SAP NetWeaver Dosyası Yükleme Kusur
CVE-2025-31324, SAP NetWeaver Visual Composer’daki meta veri yükleyici bileşenini etkileyen sınırsız bir dosya yükleme güvenlik açığıdır.
.png
)
Kritik kusur, yetkili olmayan saldırganların savunmasız sistemlere potansiyel olarak kötü niyetli yürütülebilir ikili dosyaları yüklemesine izin verir. Güvenlik araştırmacıları, bu güvenlik açığını CWE-434 (tehlikeli tipte sınırsız yükleme) altında sınıflandırmıştır.
Küresel tehdit istihbarat ağlarında aktif sömürü gözlemleyen Onapsis’te güvenlik araştırmacıları, “Bu güvenlik açığı, geliştirme sunucusunu herhangi bir kimlik doğrulaması olmadan ağa maruz bırakıyor, yani saldırganlar bir girişe ihtiyaç duymadan kötü amaçlı dosyaları yükleyebilirler” dedi.
Güvenlik açığı, özellikle görsel besteci bileşenini hedefleyen SAP NetWeaver Uygulama Sunucusu Java’yı (Java olarak) etkiler.
Varsayılan olarak yüklenmemiş olsa da, araştırmacılar bu bileşenin, manuel kodlama olmadan uygulamalar geliştirmek için kullanan iş süreci uzmanları arasındaki popülaritesi nedeniyle Java sistemlerinin% 50-70’inde etkinleştirildiğini tahmin ediyorlar.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | SAP NetWeaver Uygulama Sunucusu Java, özellikle görsel besteci bileşeni (VCFramework 7.50); “Geliştirme Sözleşmesi/MetaTauploader” uç noktası savunmasızdır. |
| Darbe | Uzak Kod Yürütülmesine (RCE) yol açan keyfi dosyaları yükleyin, tam uzlaşma |
| Önkoşuldan istismar | Kimlik doğrulama veya özel ayrıcalıklar gerekmez; Saldırgan yalnızca savunmasız uç noktaya ağ erişimine ihtiyaç duyar. |
| CVSS 3.1 puanı | 10.0 (kritik) |
Güvenlik firması Reliaquest ilk olarak 22 Nisan 2025’te sömürü gözlemlerini bildirdi ve Mart 2025’e kadar olan saldırıları gösterdi.
Tehdit aktörleri, uzlaşmış sistemlere arka kapı erişimini sağlayan JSP webshell’leri yüklemek için /geliştirme şirketi /metadatauploader uç noktasını açıkça hedefleyen gözlemlenmiştir.
Saldırı, kimlik doğrulaması gerektirmez ve saldırganların hedeflenen SAP sistemini tam olarak kontrol etmesine izin verir ve potansiyel olarak hassas iş verilerine, finansal kayıtlara ve kişisel olarak tanımlanabilir bilgilere erişim sağlar.
Onapsis’e göre, sömürü etkilenen sistemlerin “derhal tam olarak uzlaşmasına” yol açabilir ve bağlı sistemlere dönüşmek için bir dayanak olarak kullanılabilir.
CISA’nın KEV kataloğuna CVE-2025-31324 eklemesinin ardından, Bağlayıcı Operasyonel Direktife (BOD) tabi olan federal ajanslar 20 Mayıs 2025’e kadar güvenlik açığını düzeltmelidir.
Kasım 2021’de kurulan direktif, ajansların CISA tarafından belirlenen zaman çizelgelerine göre bilinen sömürülen güvenlik açıklarını yamasını gerektiriyor.
SAP, 24 Nisan 2025’te Güvenlik Notu #3594142 aracılığıyla bir acil durum yaması yayınladı. Hemen yama yapamayan kuruluşlar, SAP Not #3593336’da detaylandırılan geçici hafifletmeler uygulayabilir.
SAP ayrıca, müşterilere belirli dizinlerde tanıdık olmayan .jsp, .java veya .class dosyaları gibi potansiyel uzlaşma göstergelerini belirlemelerine yardımcı olmak için bir SSS belgesi yayınladı.
Güvenlik uzmanları, bu güvenlik açığının SAP NetWeaver sistemleri, özellikle de bulut ortamlarıyla aynı düzeyde siber güvenlik dikkatini çekmemiş olan kuruluşlar için önemli bir risk taşıdığını belirtti.
SOC ve DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.