OP Innovate’deki siber güvenlik uzmanları, SAP Netweaver görsel bestecisinde kritik bir sıfır gün kırılganlığı olan CVE-2025-31324’ün kamuya açıklanmasından yaklaşık üç hafta önce aktif olarak sömürüldüğüne dair kanıtlar ortaya koydu.
/Geliştirme Seri /MetaTauploader uç noktasında bulunan bu kusur, uygun kimlik doğrulama ve yetkilendirme kontrollerinden yoksundur ve kimlik doğrulanmamış saldırganların web kabukları gibi kötü amaçlı dosyalar yüklemesini sağlar ve potansiyel uzaktan kod yürütülmesine yol açar.
SAP tarafından 10.0 CVSS puanı ile derecelendirilen güvenlik açığının sömürü kolaylığı ve ciddi etkisi, onu tehdit aktörleri için birincil hedef haline getirmiştir.
.png
)
Güvenlik topluluğu başlangıçta sömürünün ifşa sonrası başladığına inanıyor olsa da, bu bulgu sofistike saldırganların, özellikle Rusça konuşan Qilin Hizmet Olarak Fidye Yazılımı (RAAS) grubunun, bu kritik kusura erken erişim sağladığını ve yamalar veya uyarılar mevcut olmadan uzun süre büyük bir işletme ortamında sömürdüğünü gösteriyor.
Erken sömürü ortaya çıkarıldı
Küresel bir işletme için bir olay yanıtı sırasında, OP Innovate’in adli analizi CVE-2025-31324’ü hedefleyen iki farklı sömürü denemesi ortaya koydu.
Birinci, açıklama, savunmasız uç noktaya erişmek için yanlış yapılandırılmış bir yük dengeleyicisini kullanan saldırganları içeriyordu ve JSP tabanlı web kabuklarını uzaktan kod yürütme için SAP IRJ dizinine yükledi.
Saldırganlar, Kobalt Strike Komuta ve Kontrol (C2) altyapısı ile giden iletişimi başlattılar ve IPS’den, Qilin’in 184.174.96.74 gibi bilinen altyapısına doğrudan bağlı IPS’den bir ters çorap tünelleme aracı Rs64c.exe’yi başlatmaya çalıştı.
Endonezya’nın Ulusal Siber ve Kripto Ajansı (BSSN) bülteninin eşleşmesi, Qilin tarafından kullanılan aynı dosya yollarını ve IP adreslerini vurgulayarak bu bağları daha da doğruladı.
Qilin’in taktik oyunu ve savunma kazanır
Çıkarılmamış bir aktörün ikinci bir açıklama girişimi benzer bir model izledi, ancak farklı altyapı kullandı.
Neyse ki, sağlam savunma kontrolleri C2 trafiğinin güvenlik duvarı engellemesini ve yüklerin uç nokta algılama ve yanıt (EDR) karantinası, her iki durumda da yürütmeyi, yanal hareketi veya veri eklemesini önledi.
Başarılı başlangıç erişimine rağmen, saldırganların sömürü sonrası çabaları engellendi ve vahşi günlerde sıfır gün sömürüsüne nadir bir bakış sunuyor ve Qilin’in fidye yazılımı evrelemesi için SAP gibi kurumsal orta yazılımları hedefleme stratejisini vurguladı.
OP Innovate ayrıca, SAP sistemlerinde bu tür serileştirme kusurlarını tespit etmek için özel bir WASP tarayıcısı geliştirdi, bu da şimdi savunmasız örnekleri aktif olarak tarıyor.
Uzlaşma temel göstergeleri (IOCS)
| IOC Türü | IOC | Karma türü | Tanım | Notalar |
|---|---|---|---|---|
| Dosya karma | D1C43F8DB230BDF18C61D672440EBA12 | MD5 | Eski Yürütülebilir (Test.exe) | C: \ ProgramData \ Temp.exe’ye indirildi |
| Dosya karma | 6914b1f5b684341fafdfaa9d57818b9 | MD5 | Yeni Yürütülebilir (Test.exe) | C: \ ProgramData \ temp_new.exe olarak indirildi |
| IP adresi | 184.174.96.70 | – | Bilinen Qilin C2 veya yük ana bilgisayarı | BSSN Bülteninde listelenmiştir |
| IP adresi | 184.174.96.74 | – | Rs64c.exe için IP sahneleme | Ters tünelini indirmek için kullanılır |
| IP adresi | 180.131.145.73 | – | Qilin ile ilişkili C2 IP | Hedef sistemden iletişim kurma |
| Url | http://184.174.96.74/rs64c.exe | – | Ters Çoraplar için URL’yi İndir 5 Tunneler | Qilin bağlantılı IP’de barındırıldı |
| Dosya Adları | Random12.jsp, xxkmszdm.jsp, ran_new.jsp, vb. | – | Randomize JSP web mermileri | SAP kök yoluna yüklendi |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!