SAP, NetWeaver görsel besteci bileşeninde CVE-2025-31324 olarak tanımlanan kritik bir sıfır günlük güvenlik açığını açıkladı.
Maksimum CVSSV3 şiddet skoru 10.0 ile bu güvenlik açığı, görsel bestecinin meta veri yükleyici modülünde eksik bir yetkilendirme kontrolünden kaynaklanmaktadır.
Kullanıldığında, kimlik doğrulanmamış saldırganların son nokta /geliştirme şirketi /metadatuplloader’a özel hazırlanmış yayın istekleri aracılığıyla keyfi kötü amaçlı dosyalar yüklemesine izin verir.
.png
)
Savunmasız bileşenin varsayılan NetWeaver kurulumunun bir parçası olmamasına rağmen, SAP ortağı Onapsis’in güvenlik araştırmacıları, görsel bestecinin çeşitli işletme dağıtımlarında geniş çapta etkinleştirildiği konusunda uyardı.
Visual Composer, SAP NetWeaver Portalı ile derinden entegre olur, SAP Business Suite Systems’a, SAP Netweaver Business Warehouse ve üçüncü taraf veri hizmetlerine erişimi kolaylaştırır ve bu kusuru özellikle tehlikeli hale getirir.
Vahşi doğada sömürü
Güvenlik firması Rapid7’nin ekibi 27 Mart 2025’e kadar aktif sömürü gözlemledi.
Birincil kurbanlar imalat şirketleri gibi görünüyor ve bu sektöre karşı hedeflenen saldırılar öneriyor. Rakipler, dizin içinde kalıcı uzaktan erişim sağlayan webshells-malicious komut dosyalarını bırakmak için kusurdan yararlanır:
j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root/Tehdit İstihbarat Raporları, Helper.jsp ve Cache.jsp adlı web kabuklarını vurgulayın, diğer birçok kişi ile birlikte randomize sekiz karakterli dosya adı kullanan diğerleri:
- cglswdjp.jsp
- ijoatvey.jsp
- dkqgcoxe.jsp
- ylgxcsem.jsp
- cpyjljgo.jsp
- tgmzqnty.jsp
Bu webshells, saldırganların tehlikeye atılan sunucular üzerinde gizli kontrolü sürdürmesini ve potansiyel olarak hedef ağlarda yanal olarak hareket etmelerini sağlar.
Bu saldırılarla herkese açık bir şekilde bağlantılı olmayan özel bir tehdit aktör grubu.
Azaltma ve yanıt önerileri
SAP NetWeaver 7.xx ve ilgili hizmet paketlerinin tüm sürümleri savunmasızdır. SAP, müşterilerin acilen aşağıdaki adımları atmasını önerir:
- Visual Composer kurulumunu kontrol edin
Visual Composer’ın Sistem Bilgisi sayfasına erişerek yüklenip yüklenmediğini doğrulayın:
http://:/nwa/sysinfo Yazılım Bileşeni Visual Composer Framework’ü (vcframework.sca) arayın. Mevcut değilse, güvenlik açığı uygulanamaz.
- Acil durum güncellemeleri uygulayın
CVE-2025-31324 için bir düzeltme içerdiğinden, NetWeaver’ın en son sürümünü hemen güncelleyin. Standart yama döngüsünü beklemeyin. Yama işleminin önceden var olan uzlaşmayı kaldırmadığını unutmayın. - Yama yapamıyorsanız görsel besteciyi devre dışı bırakın
Sömürmeyi önlemek için görsel besteciyi devre dışı bırakmak için SAP’nin resmi yönergelerini izleyin. - Uç nokta erişimini kısıtlamak
Ağ kontrolleri aracılığıyla savunmasız uç nokta /geliştirmeler /geliştirme işlemleri /meta lafuluploader ile erişim veya engelleyin. - Uzlaşma belirtileri için araştırın
Varlıkları muhtemel uzlaşmayı gösterdiği için, aşağıdaki dizinlerde beklenmedik .jsp, .java veya .class dosyalarını arayın:
C:\usr\sap\\\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\root
C:\usr\sap\\\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work
C\usr\sap\\\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work\sync SAP NetWeaver’ı çalıştıran işletmeler, daha fazla yetkisiz erişimi ve potansiyel veri ihlallerini önlemek için bu güvenlik açığını en yüksek önceliğe göre ele almalıdır.
Sürekli izleme ve hızlı tepki, CVE-2025-31324’ten yararlanan devam eden saldırılardan kaynaklanan hasarı azaltmanın anahtarı olacaktır.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!