SAP, şüpheli bir uzaktan kod yürütme (RCE) sıfır gün kusurunu aktif olarak kullanma sunucularına sömürülen bant dışı acil netweaver güncellemeleri yayınladı.
CVE-2025-31324 altında izlenen ve kritik olarak derecelendirilen güvenlik açığı (CVSS V3 skoru: 10.0), SAP NetWeaver Visual Composer’da, özellikle meta veri yükleyici bileşeninde kimliği doğrulanmamış bir dosya yükleme güvenlik açığıdır.
Saldırganların, oturum açmaya gerek kalmadan kötü amaçlı yürütülebilir dosyalar yüklemesine izin vererek, potansiyel olarak uzaktan kod yürütülmesine ve tam sistem uzlaşmasına yol açar.
Satıcının bülteni halka açık olmasa da, Reliaquest bu haftanın başlarında SAP NetWeaver görsel bestecisi, özellikle CVE-2025-31324 ile hizalanan ‘/geliştirmeler/metadatuvuploader’ uç noktasında aktif olarak sömürülen bir güvenlik açığı hakkında rapor verdi.
Reliaquest, SAP NetWeaver’daki yetkisiz dosya yüklemeleri yoluyla birden fazla müşterinin tehlikeye atıldığını ve saldırganların JSP webshells’i kamuya açık dizinlere yüklediğini bildirdi.
Bu yüklemeler, JSP dosyalarına basit Get istekleri aracılığıyla uzaktan kod yürütme, tarayıcıdan komut yürütme, dosya yönetimi eylemleri (yükleme/indir) ve daha fazlasını etkinleştirdi.
Sıkıştırma sonrası aşamada, saldırganlar ‘Brute Ratel’ kırmızı takım aracını, ‘Cennetin Kapısı’ güvenlik atlama tekniğini konuşlandırdı ve MSBUILD ile derlenmiş kodu Stealth için dllhost.exe’ye enjekte etti.
Recequest, raporda sömürünün kimlik doğrulama gerektirmediğini ve uzlaşılmış sistemlerin tamamen yamalandığını, bu da sıfır gün istismarı tarafından hedeflendiğini belirtti.
Güvenlik firması WatchTowr ayrıca BleepingComputer’a CVE-2025-31324 ile bağlantılı aktif sömürü gördüklerini doğruladı.
WatchTowr CEO’su Benjamin Harris, “Kimlik doğrulanmamış saldırganlar, keyfi dosyaları bir SAP NetWeaver örneğine yüklemek için yerleşik işlevselliği kötüye kullanabilir, bu da tam uzaktan kumanda yürütme ve toplam sistem uzlaşması anlamına gelir.”
“WatchTowr, bu güvenlik açığını Web Shell’i maruz kalan sistemlere bırakmak ve daha fazla erişim elde etmek için bu güvenlik açığını kullanan tehdit aktörleri tarafından aktif sömürü görüyor.”
Diyerek şöyle devam etti: “Bu aktif aktif sömürü ve yaygın etki, yakında birden fazla tarafın üretken sömürüsünü görmemizi inanılmaz derecede muhtemel hale getiriyor.”
BleepingComputer, aktif sömürü hakkında sorularla SAP ile temasa geçti, ancak şu anda bir yanıt almadı.
Şimdi saldırılara karşı koruyun
Güvenlik açığı görsel besteci çerçevesini 7.50 etkiler ve önerilen eylem en son yamayı uygulamaktır.
Bu acil durum güvenlik güncellemesi SAP’nin düzenli ‘Nisan 2025’ güncellemesinden sonra sunuldu, bu nedenle bu güncellemeyi bu ayın başlarında (8 Nisan 2025’te piyasaya sürülecek) uyguladıysanız, CVE-2025-31324’e karşı hala savunmasızsınız.
Ayrıca, acil durum güncellemesi, CVE-2025-27429 (SAP S/4HANA’da kod enjeksiyonu) ve CVE-2025-31330 (SAP Peyzaj Dönüşümünde Kod Enjeksiyonu) olmak üzere iki kritik güvenlik açığı için düzeltmeler içerir.
Aşağıdaki hafifletmeleri gerçekleştirmek için CVE-2025-31324 adresini ele alan güncellemeleri uygulayamayanlar önerilir:
- /Geliştirme /MetaDatauploader uç noktasına erişimi kısıtlayın.
- Görsel besteci kullanılmıyorsa, tamamen kapatmayı düşünün.
- Günlükleri SIEM’e yönlendirin ve sunucu uygulaması yolundaki yetkisiz dosyalar için tarayın.
Reliaquest, hafifletmeleri uygulamadan önce şüpheli dosyaları bulmak ve silmek için derin bir ortam taraması yapılmasını önerir.