SAP’nin Mayıs 2025 Güvenlik Yaması Günü, küresel olarak birden fazla endüstride aktif sömürü görmeye devam eden kritik bir sıfır günü güvenlik açığı (CVE-2025-31324) için daha önce yayınlanan acil durum yamasına acil bir güncelleme içeriyor.
Sürüm, ciddi Netweaver güvenlik açığının ele alınmasına özel önem vererek, daha önce yayınlanan notlara 16 yeni güvenlik notu ve 2 güncelleme içeriyor.
Kritik SAP NetWeaver 0 Günlük RCE Güvenlik Açığı
Mümkün olan maksimum CVSS puanı 10.0 ile derecelendirilen kritik güvenlik açığı, SAP NetWeaver’ın görsel besteci geliştirme sunucusu bileşenini (VCFramework 7.50) etkiler.
.png
)
İlk olarak güvenlik araştırma firması Reliaquest tarafından 22 Nisan 2025’te bildirilen kusur, SAP’yi 24 Nisan’da acil durum yaması yayınlamaya teşvik etti. Bugünün güncellemesi, gelişen sömürü tekniklerine karşı korumayı güçlendiriyor.
Sorunun temel nedeni, uygulamada uygunsuz bir kimlik doğrulama ve yetkilendirme kontrolüdür. Bu, kimlik doğrulanmamış bir kullanıcı işlevlerinden bazılarından yararlanmak istediğinde meta veri yükleyicisinin korunmadığı anlamına gelir.
Güvenlik araştırmacıları, istismarın 20 Ocak 2025’e kadar başladığını ve gerçek sömürü denemeleri 10 Şubat’ta başlamış olduğunu belirlediler.
Bu güvenlik açığı özellikle tehlikelidir, çünkü kimlik doğrulanmamış uzak saldırganların kötü niyetli yürütülebilir dosyalar da dahil olmak üzere keyfi dosyalar yüklemesine izin verir ve bu da tam sistem uzlaşmasına neden olur.
Onapsis, “Başlangıçta keyfi dosya yüklemesi ile sınırlı olduğu düşünülse de, bunun aslında uzaktan komut yürütme (RCE) olduğunu belirledi” diyor.
Saldırganlar, kalıcı erişimi kolaylaştırmak için “Helper.jsp” ve “Cache.jsp” gibi adlarla JSP web kabuklarını yüklediklerini gözlemlediler.
Güvenlik açığının etkisi, onapsis ve maniant, “enerji ve kamu hizmetleri, üretim, medya ve eğlence, petrol ve gaz, petrol ve gaz, ilaç, perakende ve hükümet kuruluşlarında onaylanmış uzlaşmalar dahil olmak üzere endüstriler ve coğrafyalar arasında sömürü” teyit eder.
SAP Visual Composer varsayılan olarak yüklenmese de, araştırma “Java sistemlerinin en az% 50’sinde kurulduğunu ve etkinleştirildiğini ve araştırmanın yüzdenin% 70’e kadar olabileceğini gösteren” olduğunu gösteriyor.
Bu yaygın dağıtım önemli bir saldırı yüzeyi yarattı. 5 Mayıs 2025 itibariyle, güvenlik firmaları “ilk sıfır gün saldırısından daha önce yerleşik web kabuklarından yararlanan takip eden, fırsatçı tehdit aktörleri tarafından düzenlenen ikinci bir saldırı dalgası” gözlemlediler.
Daha yeni saldırılar, Chaya_004 olarak izlenen bir Çin tehdit oyuncusu ile bağlantılıdır.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | SAP NetWeaver Visual Composer Geliştirme Sunucusu (VCFramework 7.50) |
| Darbe | Uzaktan Kod Yürütme (RCE), Rasgele Dosya Yüklemesi, Tam Sistem Uzlaşma |
| Önkoşuldan istismar | Savunmasız EndpointNo kimlik doğrulamasına ağ erişimi gerekli |
| CVSS 3.1 puanı | 10.0 (kritik) |
SAP NetWeaver’ı çalıştıran kuruluşlara şunlara şiddetle tavsiye edilir:
- Güncellenmiş yamayı (SAP Not #3594142) hemen uygulayın.
- Anında yama mümkün değilse, SAP Not #3593336’da detaylandırılmış geçici çözümler uygulayın.
- Maruz kalan sistemler için uzlaşma değerlendirmeleri yapın.
Saldırganlar veren güvenlik açığı ile “
SAP bu durumu izlemeye devam ettikçe, müşterilerin bu güncellemeyi Mayıs yama döngüsünde diğerlerinin üzerinde önceliklendirmeleri istenir.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri