Onapsis Güvenlik Araştırmacıları, VX Altında daha önce sömürülen iki kritik SAP NetWeaver güvenlik açıklarını (CVE-2025-31324, CVE-2025-42999) birleştiren bir çalışma istismarını (CVE-2025-42999) VX yeraltı tarafından kamuya açıkladı.
İstismarın iddia edilen üç yerleşik siber suç grubundan oluşan bir kolektifi temsil ettiğini iddia eden bir telgraf kanalında yayınlandığı iddia edildi: dağınık örümcek, Shinyhunters ve Lapsus $.
CVE-2025-31324’ün tarihsel sömürüsü
Bu yılın başlarında, şüpheli bir başlangıç erişim broker grubu CVE-2025-31324’ü istismar etti-saldırganların kimlik doğrulaması olmadan dosyaları yüklemesine izin veren eksik bir kimlik doğrulama hatası-Webshells yüklemek ve fidye yazılımı saldırılarının yolunu hazırlamak için sıfır gün saldırılarında.
Bunları, savunmasız sistemlerde yerleşik webshell’leri (ilk sıfır gün saldırısından) kullanan fırsatçı tehdit aktörleri tarafından monte edilen başka bir saldırı dalgası izledi.
Mayıs ortasında, SAP-2025-42999 için SAP yayınladı, bu da SAP Visual Composer’da (savunmasız SAP NetWeaver öğesi) belirli dosyaları işleme mekanizmasını değiştirdi ve “CVE-2025-31324’ü yamaladıktan sonra kalan bir risk”.
Serbest bırakılan istismar
İstismar zincirleri CVE-2025-31324’ü birlikte, kötü niyetli yükü seansalize etmelerine ve bu kodu savunmasız SAP sisteminde yürütmelerine izin veren bir seansizasyon kusuru olan CVE-2025-42999 ile birlikte.
Bu istismarın yayınlanması, daha az vasıflı saldırganlar da dahil olmak üzere daha fazla grubun artık bu güvenlik açıklarından yararlanabileceği anlamına geliyor.
“Bu istismar, bu güvenlik açıklarının yalnızca webshell’leri dağıtmak için değil, aynı zamanda hedef sistemde herhangi bir artefakt dağıtmaya gerek kalmadan doğrudan işletim sistemi komutlarını yürüterek ‘arazide yaşayabileceğini’ de doğrular.
Birçok şirket bu kusurları zaten yamaladı-Shadowserver Foundation şu anda CVE-2025-31324 için henüz yamalar almamış 50’den az internete bakan SAP NetWeaver sistemini tespit ediyor-ancak istismar kodunun piyasaya sürülmesi yeni riskler getiriyor.
Onapsis, seansizasyon gadget’ının yeniden kullanılabileceği konusunda uyarıyor “Temmuz ayında SAP tarafından yakın zamanda yamalanan firalizasyon kırılganlıklarından yararlanmak gibi diğer bağlamlarda [CVE-2025-30012, CVE-2025-42980, CVE-2025-42966, CVE-2025-42963, CVE-2025-42964]. “
“Bu potansiyel olarak SAP uygulamalarının diğer alanlarında yeni saldırı vektörleri açar. Bir saldırganın cephaneliğinde güçlü bir araçtır ve vahşi doğada yayınlanması önemli bir olaydır. Kuruluşlar, bu SAP güvenlik açıklarının da hemen ortamlarında yamalanmasını sağlamalıdır” dedi.
Araştırmacılar, şirketlere SAP’den en son güvenlik yamalarını uygulamalarını, SAP uygulamalarına erişimi sınırlamalarını ve beklenmedik dosya yüklemeleri veya garip işlemler gibi şüpheli davranışlar için SAP uygulamalarını izlemelerini önerdiler.
Maniant ve onapsis, her iki CVE’ye bağlı uzlaşma göstergelerini tespit eden açık kaynaklı tarayıcılar sağladı.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!