Siber güvenlik araştırmacıları, SAP Netweaver’ın görsel besteci meta veri yükleyicisinde, CVE-2025–31324 olarak adlandırılan kritik bir sıfır gün güvenlik açığını hedefleyen bir istismar komut dosyasının iç işleyişini tanıttılar.
Bu kusur, SAP hizmet hesabı ayrıcalıkları altında uzaktan kod yürütülmesine (RCE) yol açabilecek kimlik doğrulanmamış dosya yüklemelerini sağlayan HTTP Bitiş Noktası /Developmentserver /MetaTaTuploader üzerindeki eksik bir yetkilendirme kontrolünden kaynaklanır.
Başlangıçta VX-Underground tarafından yayınlanan komut dosyası, kötü niyetli JSP web kabukları gibi keyfi dosyaları yüklemek için HTTP post istekleri hazırlayarak işlemi otomatikleştirerek saldırganlara etkilenen sistemlere kalıcı erişim sağlıyor.
Güvenlik Açığı Sömürü
İstismar, sunucu uygulamasının yüklemeleri doğrulayamamasından yararlanır ve dosyaların doğrudan/irj/servlet_jsp/irj/root/gibi web tarafından erişilebilir dizinlere yazılmasına izin verir.
Kontrol modunda, komut dosyası, serileştirilmiş bir nesnenin görünür bir kabuk dağıtmadan saldırgan kontrollü bir sunucuya geri çağrıyı tetiklediği bant dışı uygulama güvenlik testi (OAST) aracılığıyla gizli doğrulama için bir Java seansizasyon yükü kullanır.
Tam sömürü için, genellikle algılamadan kaçmak için komut dosyası içinde Base64’te kodlanan bir JSP web kabuğunun yüklenmesine geçer, çalışma zamanında kod çözülür ve çok partili/form veri sonrası istekleri yoluyla iletilir.
Rapora göre, bir Helper.jsp dosyası gibi yük, Rungtime.GetRuntime (). Exec () kullanarak komut enjeksiyon modellerini,?
Destekleyici özellikler arasında çok hedefli tarama için argüman ayrıştırma, eşzamanlı işlemler için iş parçacığı ve eski SSL kullanma ve sertifika atlama seçenekleri ve çeşitli ağ ortamlarına karşı sağlam hale getirir.
8 karakterli alfasayısal teller üretme veya gizleme için önek noktalar gibi dosya adlarının randomizasyonu, kaçakçılığı daha da artırırken, komut dosyasının mantığı SAP’nin Java tabanlı mimarisiyle uyumluluğu sağlar ve potansiyel olarak gelişmiş kalıcılık için savaş veya kavanoz dağıtımlarına uzanır.
Savunma önlemleri
Sıkıştırma sonrası artefaktlar, genellikle Python-Requests kullanıcı ajanları ve JSP dosya adları içeren çok taraflı formlarla, Exec desenleri veya bilinen karmalarda beklenmedik dosyaların yanı sıra, genellikle python-requests kullanıcı ajanları ve çok taraflı formlarla olağandışı HTTP trafiğini içerir. 1F72BD2643995FAB4ECF7150B6367FA1B3FAB17AFD2ABED30A98F075E4913087.
Sunucu günlükleri, kodlanmış komutlar, araç indirmeleri için kötü amaçlı ana bilgisayarlara giden bağlantılar veya SAP Java motoru tarafından ortaya çıkan BASH yürütmeleri Base64 yüklerini kodlayan anormal işlemleri ortaya çıkarabilir.
Azaltma, yetkilendirme kontrollerini uygulamak için Nisan 2025’te yayınlanan SAP Security Note 3594142’nin uygulanmasıyla başlar.
Geçici adımlar, uç noktanın ağ izolasyonunu, kullanılmadıysa görsel besteciyi devre dışı bırakmayı ve şüpheli yüklemeleri engellemek için WAF kurallarını dağıtmayı içerir. Tespit stratejileri, çekirdek şablonları gibi araçlar kullanarak IOC’lerin taramasını vurgulamak, kimlik doğrulanmamış yayınlar için günlükleri gözden geçirme ve çıkış trafiğini izleme.
Kabukları veya ağ yardımcı programlarını başlatan SAP işlemlerini hedefleyen uç nokta algılama kuralları, Mart 2025’ten bu yana siber suçlular ve devlet aktörleri tarafından yaygın bir şekilde sömürülme nedeniyle hızlı yama ihtiyacının altını çizerek sürekli koruma sağlar.
AWS Security Services: 10-Point Executive Checklist - Download for Free