عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد وهن ثغرة CVE-2025-31324

ثغرة CVE-2025-31324

بواسطة Mezo في وهن
ترجمة الى:

ربط باحثون أمنيون جهة تهديد تابعة للصين، تُعرف باسم Chaya_004، باستغلال ثغرة أمنية حرجة في نظام SAP NetWeaver، عُرفت برقم CVE-2025-31324. هذه الثغرة، الحاصلة على أعلى درجة CVSS وهي 10.0، تسمح للمهاجمين بتنفيذ التعليمات البرمجية عن بُعد (RCE) عن طريق تحميل واجهات ويب مُهددة عبر نقطة النهاية /developmentserver/metadatauploader المُعرّضة للخطر.

لفتت هذه الثغرة الانتباه لأول مرة في أواخر أبريل 2025، عندما اكتشفت فرق أمن المعلومات استغلالها بنشاط. وقد استخدمها المهاجمون لنشر واجهات ويب وأدوات ما بعد الاستغلال مثل Brute Ratel C4.

التداعيات: الصناعات في مرمى النيران

منذ مارس 2025، استُغلت هذه الثغرة على نطاق واسع في مختلف القطاعات والمناطق الجغرافية. ويُعتقد أن الاستغلال الأولي حدث في 12 مارس، مع تأكيد وقوع عمليات اختراق ناجحة بين 14 و31 مارس.

وتشمل القطاعات المتضررة ما يلي:

  • الطاقة والمرافق
  • تصنيع
  • الإعلام والترفيه
  • النفط والغاز
  • المستحضرات الصيدلانية
  • منظمات التجزئة والحكومة

تشير هذه الهجمات واسعة النطاق إلى حملة عالمية من المحتمل أن تؤثر على مئات أنظمة SAP.

داخل البنية التحتية الضارة

كان المُهدّد Chaya_004 في طليعة هذه الحملات، مُستَضيفًا واجهةً عكسيةً على الويب تُسمى SuperShell على عنوان IP 47.97.42[.]177. كشفت هذه البنية التحتية أيضًا عن عناصر مُريبة أخرى:

  • المنفذ 3232/HTTP، الذي يقدم شهادة ذاتية التوقيع تحاكي Cloudflare
  • أدوات وخدمات متعددة باللغة الصينية يتم استضافتها من خلال موفري الخدمات السحابية الصينيين

تتضمن أدوات البرمجيات الخبيثة المرتبطة بالمجموعة ما يلي:

  • خادم سياسات الشبكة (NPS) : تُستخدم هذه الأداة غالبًا لإدارة سياسات الوصول إلى الشبكة. يمكن للمهاجمين استغلالها للتلاعب بحركة مرور الشبكة، مما قد يُمكّن من الوصول غير المصرح به أو تعطيل الاتصالات.
  • SoftEther VPN : برنامج VPN متعدد الاستخدامات مفتوح المصدر يمكن للمهاجمين إساءة استخدامه لتجاوز أمان الشبكة وإنشاء اتصالات مشفرة بالأنظمة البعيدة، مما يساعد في تسريب البيانات خفية أو الحركة الجانبية داخل الشبكات المخترقة.
  • كوبالت سترايك : أداة معروفة على نطاق واسع تُستخدم بعد الاستغلال لمواجهة التهديدات المتقدمة والمستمرة. تتيح للمهاجمين محاكاة هجمات إلكترونية واقعية، مما يمنحهم القدرة على التحكم في الأجهزة المخترقة واستغلالها سرًا.
  • منارة استطلاع الأصول (ARL) : أداة استطلاع تساعد المهاجمين على رسم خريطة لأصول الشبكة، وتحديد نقاط الضعف، والحصول على رؤى حول الأهداف المحتملة داخل الشبكة، مما يساعد في شن هجمات أكثر فعالية وتركيزًا.
  • Pocassist : أداة مصممة للمساعدة في إنشاء واستغلال ثغرات إثبات المفهوم (PoC)، مما يساعد المهاجمين على أتمتة عملية اختبار الثغرات الأمنية وتنفيذ الثغرات المستهدفة.
  • GOSINT : أداة تستخدم لجمع المعلومات الاستخباراتية مفتوحة المصدر (OSINT)، والتي تساعد المهاجمين على جمع المعلومات المتاحة للعامة للمساعدة في الاستطلاع، مثل بيانات الموظفين أو تفاصيل الشبكة أو غيرها من المعلومات الحساسة التي يمكن الاستفادة منها في الهجمات.
  • GO Simple Tunnel : أداة أنفاق بسيطة يستخدمها المهاجمون لتجاوز جدران الحماية وتدابير أمان الشبكة الأخرى، مما يؤدي إلى إنشاء أنفاق مشفرة يمكن استخدامها لنقل حركة المرور دون اكتشافها أو الوصول إلى الأنظمة المقيدة.
  • نفق GO البسيط

    • وتشير هذه المجموعة المتطورة من الأدوات، إلى جانب استخدام البنية التحتية الصينية، بقوة إلى وجود جهة تهديد تعمل انطلاقا من الصين.

    البقاء في المقدمة: استراتيجيات الدفاع ضد الاستغلال المستمر

    على الرغم من إصدار تصحيحات أمنية، لا يزال النشاط الضار مستمرًا في مرحلة ما بعد التصحيح، مما يشير إلى أن واجهات الويب المُستخدمة سابقًا تُعاد توظيفها وتوسيع نطاقها من قِبل طيف واسع من المحتالين، من الانتهازيين إلى الخصوم ذوي المهارات العالية. في ظل بيئة التهديدات المتطورة هذه، يجب على المؤسسات تطبيق تدابير شاملة للمعالجة، تشمل التطبيق الفوري لتحديثات SAP الرسمية، والتقييد الدقيق للوصول إلى نقاط النهاية المعرضة للخطر، وتعطيل الخدمات غير الأساسية مثل Visual Composer.

    علاوةً على ذلك، يبقى الحفاظ على يقظةٍ مُشددةٍ من خلال المراقبة المُستمرة للنظام والسجلات للكشف عن أي سلوكياتٍ شاذة أمرًا بالغ الأهمية. تُعدّ هذه الجهود الدفاعية حيويةً للحدّ من احتمالية حدوث المزيد من الاختراقات، وحماية السلامة التشغيلية للبنى التحتية لنظام SAP.

    الشائع

    الأكثر مشاهدة

    البرمجيات الخبيثة

    التصيد الاحتيالي, رسائل إلكترونية مزعجة
    33,573
    رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
    جار التحميل...