Key Takeaways
1. ShinyHunters publicly released exploits for critical SAP vulnerabilities.
2. Unauthenticated attackers can achieve complete system takeover and remote code execution.
3. Immediately apply SAP Security Notes 3594142 and 3604119.
Kritik SAP güvenlik açıklarını hedefleyen bir çalışma istismarı CVE-2025-31324 ve CVE-2025-42999, VX Alt Düzeyinde Sosyal Medya Platformu X. Sosyal Medya Platformu X.
İstismar, SAP Netweaver görsel bestecisinde, maksimum CVSS puanını 10.0 taşıyan ve kimlik doğrulanmamış saldırganların tam sistem uzlaşması ve uzaktan kod yürütme özelliklerine ulaşmasını sağlayan iki ciddi güvenlik açığını zincirler.
Güvenlik araştırmacıları, kamuoyunun serbest bırakılmasının, özellikle istismarın sofistike doğası ve yaygın dağıtım potansiyeli göz önüne alındığında, eşleştirilmemiş SAP sistemleri işleten kuruluşlar için tehdit ortamını önemli ölçüde artırdığı konusunda uyarıyor.
SAP NetWeaver Sömürü
Onapsis, istismarın SAP NetWeaver Görsel Besteci Altyapı içindeki yıkıcı bir kimlik doğrulama baypası ve serileştirme kusurları kombinasyonundan yararlandığını bildiriyor.
CVE-2025-31324, ilk saldırı vektörü olarak işlev görür ve kritik sistem işlevselliğine yetkisiz erişime izin verirken, CVE-2025-42999, güvenli olmayan sazizleme süreçleri yoluyla yük dağıtım mekanizması olarak hizmet eder.
Bu ikili velilayet yaklaşımı, saldırganların SAP yöneticisi (ADM) ayrıcalıkları ile keyfi işletim sistemi komutlarını yürütmelerini, geleneksel güvenlik kontrollerini etkili bir şekilde atlamasını ve hassas iş verilerine ve süreçlerine sınırsız erişim kazanmasını sağlar.
Teknik uygulama, com.sap.sdo.api.* Ve com.sap.sdo.impl.* Gibi belirli sınıfları kullanan SAP mimarisinin sofistike bir anlayışını gösterir.
Kötü niyetli yük, sürüme özgü ayarlamalar içeren istismar kodu ile SAP NetWeaver sürüm algılamasına dayalı olarak dinamik olarak uyum sağlar:
Kamuoyu tarafından sunulan istismar, orijinal güvenlik açığı kapsamının ötesine uzanan yeniden kullanılabilir bir firalizasyon aracına sahip tehdit aktör yeteneklerinde önemli bir artışı temsil ediyor.
Güvenlik araştırmacıları, gadget’ın CVE-2025-30012, CVE-2025-42980, CVE-2025-42966, CVE-2025-42963 ve CVE-2025-42964 dahil olmak üzere yakın zamanda yamalı firalizasyon güvenlik açıklarına yönelik potansiyel uygulaması konusunda özel endişelerini dile getirmektedir.
Bu çapraz valne uyumluluğu, tehdit aktörlerinin SAP’nin altta yatan mimarisi ve serileştirme mekanizmaları hakkında kapsamlı bilgiye sahip olduklarını göstermektedir.
| CVE kimliği | Başlık | CVSS 3.1 puanı | Şiddet |
| CVE-2025-31324 | SAP NetWeaver Visual Composer Kimlik Doğrulama Bypass | 10.0 | Eleştirel |
| CVE-2025-42999 | SAP NetWeaver Visual Composer Sealizasyon Güvenlik Açığı | 9.1 | Eleştirel |
Hafifletme
Kuruluşlar, sömürülen güvenlik açıklarını ele almak için hemen SAP Güvenlik Notları 3594142 ve 3604119 uygulamalıdır.
Ek kritik yamalar arasında, ilgili searyalizasyon kusurları için 3578900, 3620498, 3610892, 361771 ve 3621236 Güvenlik Notları bulunmaktadır.
Güvenlik ekipleri, İnternet’e dönük SAP uygulama erişimini kısıtlarken SAP Visual Composer bileşenlerini hedefleyen Post, Get ve kafa istekleri için kapsamlı izleme uygulamalıdır.
Safely detonate suspicious files to uncover threats, enrich your investigations, and cut incident response time. Start with an ANYRUN sandbox trial →