SaaS ve Web Uygulaması İş Akışlarını Güvence Bulunması
Web Shells’i yüklemek için kimlik doğrulanmamış bilgisayar korsanları CVE-2025-31324’ü istismar
Akhabokan Akan (Athokan_akhsha) •
28 Nisan 2025
Tehdit aktörleri, hükümetler ve işletmeler tarafından hala yaygın olarak kullanılan kısmen kullanımdan kaldırılmış bir SAP aracında sıfır günlük bir kusurdan yararlanıyor.
Ayrıca bakınız: Ondemand | Modern işletmeler kapsamlı kimlik güvenliği programları gerektirir: Kimlik güvenliğinde liderden en iyi uygulamalar
CVE-2025-31324 olarak izlenen güvenlik açığı, işlemsel ve analitik uygulamalar için kullanılan web tabanlı bir yazılım geliştirme aracı olan SAP Visual Composer’ı etkiler. Kimlik doğrulama kusuru maksimum bir güvenlik açığı sıralamasına sahiptir. Saldırganlar, hedeflenen sistemi devralmak için web kabuklarını yüklemek için kullanabilir.
Cuma günü, SAP’nin güvenlik bölümü Onapsis, CVE-2025-31324’ün “vahşi doğada aktif olarak sömürüldüğünü” açıkladı.
SAP, “Ondan yararlanmak için kimlik doğrulaması gerekmez, kimlik doğrulanmamış ajanların veya kimlik doğrulanmamış tehdit aktörlerinin savunmasız bileşenle etkileşime girmesine izin verir.” Dedi. Şirket, 2015 yılında Visual Composer’ın bazı sürümlerini kullanımdan kaldırdı, ancak 2030’a kadar aracın 7.5 sürümü için bakımını genişletti.
Güvenlik açığı, SAP NetWeaver 7.xx için SAP Visual Composer bileşeni içindeki “Geliştirme Sunucusu” nu etkiliyor, bu da müşterilerine “kodlama kullanmadan iş bileşenleri geliştirmek” konusunda yardımcı olmak için “yaygın olarak etkin”.
Saldırganlar, HTTP/HTTPS aracılığıyla kusurdan yararlanabilir. /developmentserver/metadatauploader URL.
“Tehdit aktörleri potansiyel olarak kötü amaçlı kod dosyaları, en yaygın olarak web kabukları yükleyebilir. Gözlenen dosya adlarına örnekler arasında ‘Helper.jsp’ ve ‘cache.jsp’ yer alıyor.”
İnternet İzleme Organizasyonu SHADE Server Foundation Pazar günü, en az 454 IP adresinin, çoğunluğu ABD’de bulunan kusura karşı savunmasız olduğunu söyledi
Güvenlik firması Reliaquest, bilgisayar korsanlarının kötü amaçlı dosyalar yürütmek için “JSP webshells” yüklediği birden fazla müşteri olayı fark ettikten sonra kusuru gözlemledi.
Reliaquest, “Webshell’in amacı açıktı: Rasgele komutlar yürütecek GET taleplerini göndermek için JSP dosyasını kullanın. Bu webshell, saldırganlara yetkisiz dosyaları yüklemek için araçlar verdi ve uzlaşmış sistemlerin daha derin kontrolünü ele geçirdi.” Dedi.
Şirket, saldırganların, bilgisayar korsanları tarafından ayrıcalık yükseltme, kimlik bilgisi hırsızlığı ve kalıcılık için kullanılan kötü niyetli yükü yüklemek ve şifresini çözmek için kalem test aracı Brute Ratel’i kullandığını söyledi.
Reliaquest, bilgisayar korsanlarının SAP’yi başlangıç erişim brokerlerinden elde edilen kimlik bilgilerini kullanarak tehlikeye atmış olabileceğine inanıyor. Şirket, “Alternatif, SAP sistemlerinde bildirilmemiş bir RFI sorunudur. Bu mümkündür, çünkü CVE-2017-9844’ü azaltacak yamalar uygulanmıştır.”
Şirket, görsel bestecinin tamamen devre dışı bırakılmasını önerir. Ayrıca devre dışı bırakılmasını önerir developmentserver veya sunucuya erişimi kısıtlamak.