CVE-2025-31324 yoluyla tehlikeye atılan yüzlerce SAP NetWeaver platformuna karşı ikinci bir saldırı dalgası devam ediyor.
“[The] saldırı [are] Savunmasız sistemlerde daha önce yerleşik web kabuklarını (ilk sıfır gün saldırısından) kullanan takip eden fırsatçı tehdit aktörleri ile sahnelendi ”dedi.
İkinci saldırı dalgası
CVE-2025-31324, SAP NetWeaver’ın görsel besteci aracında, kimlik doğrulanmamış saldırganların şunları yapmasına izin veren bir güvenlik açığıdır:
- Dikkatle hazırlanmış yayın istekleri göndererek kötü amaçlı dosyaları ana bilgisayar sistemine yükleyin. /geliştirmelercilik/metaTauploader URL (uç nokta)
- Yönetici izinlerle komutları yürüt
SAP, 24 Nisan 2025’te CVE-2025-31324 için bir acil durum yaması yayınladı, ancak Reliaquest, Rapid7, Onapsis, Maniant (Google) dahil olmak üzere birçok güvenlik şirketi, Mart 2025’e kadar uzanan müdahaleleri tespit etti ve ilgili keşif faaliyetleri Ocak 2025’e kadar uzandı.
Onapsis araştırmacıları, “Bazı kuruluşlar Onapsis’e, Mart 2025’te, özellikle 14 Mart ve 31 Mart arasında web kabuklarını dağıtmak için başarılı uzlaşmalar gördüğünü bildirdiler. Mantiant, olay tepkisi yoluyla bilinen ilk sömürünün 12 Mart 2025’te gerçekleştiğini belirtti.” Dedi.
30 Nisan civarında sona eren ilk saldırı dalgasında, orijinal saldırganlar tehlikeye atılan SAP NetWeaver örneklerine web kabukları kullandı. Bu ikinci dalgada, diğer saldırganlar orijinal saldırganların yerleştirdiği web kabuklarından yararlanmaya başladılar ve muhtemelen webshell düşen tehdit oyuncusunun ilk erişim komisyoncusu olduğu teorisini doğruladı.
Forescout’un Vedere laboratuvarlarından araştırmacılar, ikinci aşama saldırılara katılan fırsatçı tehdit aktörlerinden birine ait kötü niyetli altyapıyı ortaya çıkardılar ve haritaladılar ve onlar tarafından kullanılan çeşitli araçlar buldular.
“Çinli bulut sağlayıcılarının kullanımı ve birkaç Çin dilinin kullanımı, Chaya_004 olarak adlandırdığımız Çin merkezli bir tehdit aktörüne işaret ediyor” dedi.
Yama ve araştır
Yöneticilere daha önce SAP tarafından sağlanan yamayı uygulamaları veya yama mümkün değilse veya bir yama mevcut değilse meta veri yükleyici bileşenine erişimi kısıtlaması tavsiye edilmiştir. (SAP NetWeaver Uygulama Sunucusu Java 7.40 ve önceki sürümler artık güncelleme almıyor.)
SAP platformlarına internet erişimini kaldırmak tam bir çözüm değildir.
Onapsis araştırmacıları, “SAP uygulaması internete dönük değilse değişecek tek şey, sömürü sıklığıdır” dedi.
“Güvenlik açığının niteliği ve nasıl kullanıldığı nedeniyle, bir ağdan kolayca yürütülebilen bu güvenlik açığından ve araçlardan yararlanarak otomatik sömürü araçlarını görmeyi umuyoruz. Ayrıca, bu kötü amaçlı yazılım veya fidye yazılımı gibi kötü amaçlı yazılımlar tarafından kullanılabilir.”
Özellikle yama imkansızsa, görsel besteci de dahil olmak üzere kullanılmayan web hizmetleri devre dışı bırakılmalı ve kullanılmayan uygulamalar kaldırılmalıdır.
Ancak kuruluşların SAP NetWeaver örneklerine saldırganlar tarafından erişilip erişmediğini araştırmaları da önemlidir.
Mantiant ve Onapsis, CVE-2025-31324’ün çevrelerinde aktif olarak aktif olarak sömürülmesi ile ilişkili uzlaşma göstergelerini tanımlamak için kullanabileceği açık kaynaklı bir tarayıcı kuruluşunun yayınlandığı ve düzenli olarak güncellediği, ancak bir “tam bir müfettişin gerçekleşmediği anlamına gelmediği anlamına geliyor:“ sofistike saldırganlar, intransikler yaptıklarında kanıtı temizliyor ”.
Onapsis araştırmacıları ayrıca web kabuklarının muhtemelen yüklendiğini keşfettiler (uzaktan kod yürütme yoluyla) sonrasında Keşif aşamasında diğer RCE komutları yürütüldü.
“Bu, ‘toprakların yaşadığı’ uzlaşma ve kalıcılığın web kabukları olmadan mümkün olduğu anlamına geliyor” diye belirttiler, bu yüzden savunucuların olay yanıt oyun kitaplarını buna göre ayarlamaları gerekiyor.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!