Tehdit aktörleri, yetkisiz dosya yüklemelerini ve kod yürütmeyi kolaylaştırmak amacıyla JSP web mermilerini yüklemek için SAP NetWeaver’da yeni bir güvenlik açığından yararlanıyor.
Reliaquest, bu hafta yayınlanan bir raporda, “Sömürü muhtemelen daha önce açıklanmış bir güvenlik açığı veya bildirilmemiş bir uzaktan dosya dahil etme (RFI) sorunu ile bağlıdır.” Dedi.
Siber güvenlik, sıfır gün olasılığının, etkilenen sistemlerin birçoğunun zaten en son yamaları yürüttüğünden kaynaklandığını söyledi.
Kusurun, NetWeaver ortamındaki “/geliştirme şirketi/metadatuvuploader” uç noktasında kök saldığı ve bilinmeyen tehdit aktörlerinin kalıcı uzaktan erişim için “Servlet_JSP/Irj/Root/” yoluna yüklemelerini sağladığı ve ek yükler sunmasını sağladığı değerlendirilir.
Farklı bir şekilde, hafif JSP Web kabuğu, yetkisiz dosyaları yükleyecek, enfekte edilmiş ana bilgisayarlar üzerinde yerleşik kontrolü etkinleştirecek, uzaktan kodu yürütecek ve sifon duyarlı verileri etkinleştirecek şekilde yapılandırılmıştır.
Seçim olayları, son nokta korumalarını atlamak için Cennetin Kapısı adı verilen iyi bilinen bir teknik kullanılarak Brute Ratel C4 Sıkışma Sonrası Çerçevesi kullanılarak gözlemlenmiştir.
En azından bir durumda, tehdit aktörleri, kullanıma sunulan başlangıç erişiminden başarılı bir şekilde ilerlemek için birkaç gün sürdü ve saldırganın yeraltı forumlarındaki diğer tehdit gruplarına erişim elde eden ve satan bir başlangıç erişim brokeri (IAB) olabileceği olasılığını artırdı.
Reliaquest, “Araştırmamız, rakiplerin bilinen bir istismardan yararlandığını ve etkilerini en üst düzeye çıkarmak için gelişen tekniklerin bir karışımıyla eşleştirdiğini gösteren rahatsız edici bir model ortaya koydu.” Dedi.
“SAP çözümleri genellikle devlet kurumları ve işletmeler tarafından kullanılır, bu da onları saldırganlar için yüksek değerli hedefler haline getirir. SAP çözümleri genellikle şirket içi konuşlandırıldığından, bu sistemler için güvenlik önlemleri kullanıcılara bırakılır; bu sistemleri hemen uygulanmayan güncellemeler ve yamaların daha büyük uzlaşma riskine maruz kalması muhtemeldir.”
Tesadüfen, SAP ayrıca bir saldırganın keyfi dosyaları yüklemek için kullanabileceği maksimum şiddet güvenlik kusurunu (CVE-2025-31324, CVSS puanı: 10.0) ele almak için bir güncelleme yayınladı.
Güvenlik açığı için bir danışmanlık, “SAP NetWeaver Visual Composer Meta Veri Yükleyicisi, uygun bir yetkilendirme ile korunmuyor, bu da kimlik doğrulanmamış bir ajanın ana bilgisayar sistemine ciddi şekilde zarar verebilecek potansiyel olarak kötü niyetli yürütülebilir ikili dosyaları yüklemesine izin veriyor.”
Birincisinin aynı meta veri yükleyici bileşenini de etkilediği göz önüne alındığında, CVE-2025-31324’ün aynı bildirilmemiş güvenlik kusurunu ifade etmesi muhtemeldir. Hacker News, daha fazla yorum için Reliaquest’e ulaştı ve tekrar duyarsak hikayeyi güncelleyeceğiz.
Açıklama, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA), bir saldırganın hassas SAP konfigürasyon dosyaları almasına izin verebilecek başka bir yüksek şiddetli netweaver kusurunun (CVE-2017-12637) aktif olarak sömürülmesi konusunda bir aydan biraz fazla bir süre sonra geliyor.