Araştırmacılara göre, ikinci bir siber saldırı dalgası SAP Netweaver görsel bestecisinde kritik bir güvenlik açığını hedefliyor.
Nisan ayında açıklanan ilk tehdit faaliyeti turunun ardından, fırsatçı tehdit aktörleri CVE-2025-31324. CVSS puanı 10 olan güvenlik açığı, kimlik doğrulanmamış saldırganların keyfi dosyaları yüklemesine ve bir sistemin tam kontrolünü almasına izin verir, Onapsis’teki araştırmacılara göre.
Onapsis ve maniant izliyor yüzlerce onaylanmış uzlaşma Dünya çapında, kamu hizmetleri, imalat, petrol ve gaz ve diğer kritik altyapı sektörleri de dahil olmak üzere birçok endüstriye yayılan vakalar.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Güvenlik açığını ekledi Nisan ayı sonlarında bilinen sömürülen güvenlik açıkları kataloğuna.
Onapsis’teki araştırmacılar, tehdit faaliyetinin başlangıçta bilinenden daha ciddi olduğunu söylüyor, çünkü tehdit aktörleri SAP sistemlerine daha önce gerçekleştirilen savunuculardan daha fazla aşina görünüyorlar. Onapsis, bilgisayar korsanlarının Ocak ayında, daha önce düşündüğünden iki ay önce, savunmasız SAP sistemleri için ilk problamaya başladığına inanıyor.
“Değişen şey, başlangıçta saldırganların web kabuklarını dağıtmak için uzak bir dosya yükleme güvenlik açığı kullandıkları ve daha sonra sistemlerden ödün vermek için kullandığı düşünülüyordu” Oonpsis cto Juan Pablo (JP) Perez- etgayen e-posta yoluyla dedi.
Ancak, Onapsis tarafından yeniden yapılandırılan yüklere dayanarak, bilgisayar korsanları aslında bir uzaktan komut yürütme güvenlik açığı yürütüyorlardı.
Birden fazla güvenlik araştırma firmasına göre, aktif sömürü ve uzlaşma Mart ayında başlamış gibi görünüyor.
Tehdit oyuncusu, SAP hakkında ileri düzeyde bilgiye sahip gibi görünüyorlar ve uzmanlar, yollarını gizlemek ve kalıcılığı korumak için kara yaşamı tekniklerini kullanıyor olabilirler.
SAP, Nisan ayı sonlarında uygulamayı açılamayan sistemlerden tamamen kaldırmak için bir çözümle bir güncelleme yayınladı. SAP azaltma araçları, onaylanmış müşteriler için şifre korumalıdır.
Şirket, tüm müşterileri 24 Nisan’da piyasaya sürülen acil durum yamasıyla sistemlerini güncellemeye çağırıyor. Güvenlik açığı Başlangıçta Reliaquest’teki araştırmacılar tarafından açıklandı.
Bu arada, Forescout’tan araştırmacılar tanımladım SAP kusurundan yararlanan Chaya_004 adını verdiği yeni bir Çin merkezli tehdit oyuncusu.
Forescout’ta tehdit avcılığı kıdemli müdürü Sai Molige, “Bu etkinlik kümesini henüz adlandırılmış herhangi bir tehdit oyuncusu ile ilişkilendirmedik” dedi. “Ancak, altyapılarına ve Arsenal’e dayanarak, devlet destekli olmaktan daha suç olma olasılıkları daha yüksektir.”
Araştırmacılar, esas olarak Alibaba, Tencent ve Huawei Cloud’da barındırılan 787’den fazla IP adresinde bulutflare sertifikalarını taklit eden bir ağ buldular.
Analistler ayrıca Supershell, Cobalt Strike, yumuşak VPN ve birden fazla Çin dil penetrasyon testi aracı kullanarak canlı sömürü gözlemlediler.