SAP NetWeaver’daki iki kritik, şimdi paketlenmiş güvenlik kusurlarını birleştiren yeni bir istismar, vahşi doğada ortaya çıktı ve kuruluşları sistem uzlaşma ve veri hırsızlığı riskine sokuyor.
SAP Security Company Onapsis, söz konusu istismar zincirlerinin birlikte CVE-2025-31324 ve CVE-2025-42999’u uzaktan kod yürütmesini sağlamak için birlikte.
- CVE-2025-31324 (CVSS Puanı: 10.0) – SAP NetWeaver’ın Görsel Besteci Geliştirme Sunucusunda Eksik Yetkilendirme Kontrolü
- CVE-2025-42999 (CVSS Puanı: 9.1) – SAP NetWeaver’ın Görsel Besteci Geliştirme Sunucusunda Güvensiz Sesürizasyon
Güvenlik açıkları Nisan ve Mayıs 2025’te SAP tarafından ele alındı, ancak tehdit aktörleri tarafından en az Mart ayından bu yana sıfır gün olarak istismar edilmeden önce değil.
Qilin, Bianlian ve Ransomexx dahil olmak üzere çoklu fidye yazılımı ve veri gasp grupları, bunları kritik altyapı ağlarını hedefleyen saldırılarda kullanmaya koyan birkaç Çin-Nexus casusluk ekiplerinden bahsetmemek için kusurları silahlandırmaya gözlendi.
İstismarın varlığı ilk olarak geçen hafta VX-Underground tarafından bildirildi, bu da dağınık örümcek ve parlaklıklar tarafından oluşturulan yeni bir sıvı ittifakı olan dağınık Lapsus $ Hunters tarafından serbest bırakıldığını söyledi.
Onapsis, “Bu güvenlik açıkları, kimlik doğrulanmamış bir saldırganın hedef SAP sisteminde keyfi dosyaların yüklenmesi de dahil olmak üzere keyfi komutlar yürütmesine izin veriyor.” Dedi. “Bu, uzaktan kod yürütülmesine (RCE) ve etkilenen sistemin ve SAP iş verilerinin ve süreçlerinin tamamen ele geçirilmesine yol açabilir.”
Şirket ekledi, yalnızca web mermilerini dağıtmak için kullanılmamakla kalmaz, aynı zamanda uzlaşmacı sistemde ek artefaktlar bırakmak zorunda kalmadan işletim sistemi komutlarını doğrudan yürüterek arazi yaşamı (LOTL) saldırıları yapmak için silahlandırılır. Bu komutlar, SAP yöneticisi ayrıcalıklarıyla çalıştırılır ve kötü aktörlere SAP verilerine ve sistem kaynaklarına yetkisiz erişim sağlar.
Özellikle, saldırı zinciri ilk olarak kimlik doğrulamasını sınırlamak ve kötü amaçlı yükü sunucuya yüklemek için CVE-2025-31324 kullanır. Daha sonra seimleştirme güvenlik açığı (CVE-2025-42999) daha sonra yükü açmak ve yüksek izinlerle yürütmek için kullanılır.
Onapsis, “Bu seansizasyon gadget’ının yayınlanması, özellikle Temmuz ayında SAP tarafından yamalanan feshetme kırılganlıklarından yararlanmak gibi diğer bağlamlarda yeniden kullanılabilmesi nedeniyle özellikle ilgilidir.”
Bu dahil –
Tehdit aktörlerini SAP uygulamaları hakkında kapsamlı bilgiye sahip olarak tanımlayan şirket, SAP kullanıcılarını en son düzeltmeleri mümkün olan en kısa sürede uygulamaya, İnternet’ten SAP uygulamalarına erişimi gözden geçirmeye ve kısıtlamaya ve SAP uygulamalarını herhangi bir uzlaşma belirtisi için izlemeye çağırıyor.