SAP NetWeaver platformunda kritik bir güvenlik açığı olan CVE-2025-31324, saldırganlar tarafından yetkisiz dosya yüklemelerini ve kod yürütülmesini sağlamak için kötü niyetli web kabukları yüklemeleri için aktif olarak kullanılmaktadır.
Güvenlik açığı başlangıçta SAP’ye bildiren Reliaquest araştırmacıları tarafından tespit edilen sıfır gün saldırılarında kaldırıldı.
Yazılım şirketi, saldırganların yeni bir güvenlik açığından yararlandığını doğruladı; 24 Nisan’da bir acil durum yaması yayınladı; ve kuruluşları uygulamaya ve kurulumlarının tehlikeye girip girmediğini kontrol etmeye çağırdı.
CVE-2025-31324 HAKKINDA
SAP NetWeaver, SAP’nin iş uygulamalarının çoğunun temelini oluşturan bir platformdur. Görsel besteci aracında CVE-2025-31324 bulunur.
Daha spesifik olarak, CVE-2025-31324, Visual Composer’ın meta veri yükleyici bileşeninin uygun yetkilendirme kontrollerine sahip olmamasından kaynaklanmaktadır. Bu yokluk, kimlik doğrulanmamış saldırganların ana bilgisayar sistemine kötü amaçlı dosyalar yüklemesine ve idari izinlerle komutları yürütmesine izin verir.
“Güvenlik açığı, potansiyel olarak internet üzerinden HTTP/HTTPS yoluyla kullanılabilir. Saldırganlar /geliştirmelercilik/metaTauploader URL, özenle hazırlanmış posta talepleri göndererek ”dedi.
“İle [admin] Access, saldırgan, SAP uygulama sunucusunda çalışan işlemlerin kullanıcısını ve ayrıcalıklarını kullanarak temel SAP işletim sistemine yetkisiz erişim elde eder, SAP sistemi veritabanı da dahil olmak üzere herhangi bir SAP kaynağına tam erişim anlamına gelir (örneğin, SAP uygulamasını kapat veya dağıtım fidye takımı). Ek olarak, sistem, SAP sistemlerinin birbirine bağlı doğasından yararlanarak, saldırganın bu ilk giriş noktasından dönmesi ve diğer dahili sistemlere erişmesi için bir ağda bir taban olarak kullanılabilir. ”
CVE-2025-31324 SAP NetWeaver 7.xx sürümlerini etkiler.
Saldırılar hakkında
Reliaquest, bu ay birkaç müşterisi vurulduktan sonra saldırıları yatırım yaptı ve saldırganların olduğunu keşfetti:
- Yüklendi .jps webshells (örn., helper.jsp veya cache.jsp) J2EE/CLUSTER/APPS/SAP.com/Irj/Servletjsp/Irj/root/ dizin
- Onları yürütmek için bir GET isteğini ortadan kaldırdı
- Komuta ve kontrol iletişimi oluşturmak, sömürme sonrası eylemleri etkilemek ve uç nokta güvenlik çözümleri ile tespitten kaçınmak için kaba ratel aracını ve cennetin kapı tekniğini kullanın.
“Bir örnekte, saldırganın ilk erişimden takip eylemlerine geçmesinin birkaç gün sürdüğünü gözlemledik. Bu gecikmeye dayanarak, saldırganın diğer tehdit aktörlerine erişim elde eden ve satan bir başlangıç erişim brokeri olabileceğine inanıyoruz” dedi.
Yama, araştırın, temizleyin
SAP çözümleri genellikle şirket içi konuşlandırılır ve çoğunlukla büyük işletmeler ve devlet kurumları tarafından kullanılır.
Shadowserver Vakfı, şu anda ağırlıklı olarak ABD, Hindistan, Avustralya, Çin ve Avrupa’da bulunan İnternet üzerinden ulaşılabilecek yaklaşık 450 savunmasız SAP Netweaver örneği olduğunu söylüyor.
Saldırganlar tarafından zaten ihlal edilip edilmedikleri, güvenlik departmanlarının öğrenmesidir.
Yöneticiler hemen SAP tarafından sağlanan yamayı uygulamalı veya yamayı uygulayamazlarsa Meta Veri Yükleyici Bileşenine erişimi kısıtlamalıdır. Aktif olarak kullanılmıyorsa görsel besteci de devre dışı bırakılmalıdır.
SAP’nin Güvenlik Notları (1, 2) Güvenlik personeline uzlaşma göstergelerini ararken ne arayacağını söyleyin.
“JSP”, “Java” veya “Sınıf” dosyaları \kök– \işVe iş \ senkronize Dizinler kötü niyetli olarak kabul edilmelidir.
Uzlaşma kanıtı keşfedilirse, diğer sistemlerin ve ağların tehlikeye atıldığını belirlemek ve temizlenmeye devam etmek için soruşturma genişletilmelidir.
Onapsis, kuruluşların etkilenen bileşenin SAP NetWeaver örneğinde olup olmadığını, yamalı olup olmadığını ve bilinen web kabuklarının mevcut olup olmadığını kontrol etmek için kullanabileceği bir açık kaynak tarayıcı aracı yayınladı.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!