Оферта за отстъпка за множество лицензи
База данни за заплахи Уязвимост Уязвимост CVE-2025-31324

Уязвимост CVE-2025-31324

До Mezo през Уязвимостг
Превод на:

Изследователи по сигурността са свързали свързан с Китай злонамерен персонаж, наречен Chaya_004, с експлоатацията на критична уязвимост в SAP NetWeaver, идентифицирана като CVE-2025-31324. С най-висок CVSS резултат от 10.0, този недостатък позволява на нападателите да изпълнят дистанционно код (RCE), като качват заплашителни уеб шелове чрез уязвимата крайна точка /developmentserver/metadatauploader.

Тази уязвимост за първи път привлече внимание в края на април 2025 г., когато екипи по информационна сигурност откриха, че тя активно се експлоатира. Атакуващите я използват за внедряване на уеб шелове и инструменти за пост-експлоатация като Brute Ratel C4.

Последиците: Индустриите на мушката

От март 2025 г. тази уязвимост е широко използвана в различни индустрии и географски региони. Смята се, че първоначалната експлоатация е станала още на 12 март, като потвърдени успешни прониквания са извършени между 14 и 31 март.

Компрометираните сектори включват:

  • Енергия и комунални услуги
  • Производство
  • Медии и развлечения
  • Нефт и газ
  • Фармацевтични продукти
  • Търговски и държавни организации

Тези широко разпространени атаки сочат към глобална кампания, която потенциално може да засегне стотици SAP системи.

Вътре във вредната инфраструктура

Злоумишленикът Chaya_004 е начело на тези кампании, хоствайки уеб-базирана обратна обвивка, наречена SuperShell, на IP адрес 47.97.42[.]177. Тази инфраструктура разкри и други подозрителни елементи:

  • Порт 3232/HTTP, обслужващ самоподписан сертификат, имитиращ Cloudflare
  • Множество инструменти и услуги на китайски език, хоствани от китайски доставчици на облачни услуги

Зловреден софтуер, свързан с групата, включва:

  • NPS (Сървър за мрежови правила) : Този инструмент често се използва за управление на правилата за мрежов достъп. Нападателите могат да го използват, за да манипулират мрежовия трафик, потенциално позволявайки неоторизиран достъп или прекъсвайки комуникацията.
  • SoftEther VPN : Универсален VPN софтуер с отворен код, който може да бъде злоупотребен от нападателите, за да заобиколят мрежовата сигурност и да установят криптирани връзки с отдалечени системи, което спомага за скрито изтичане на данни или странично движение в компрометирани мрежи.
  • Cobalt Strike : Широко известен инструмент за пост-експлоатационна атака, използван за напреднали постоянни заплахи. Той позволява на атакуващите да симулират реални кибератаки, което им дава възможността тайно да контролират и експлоатират компрометирани машини.
  • Маяк за разузнаване на активи (ARL) : Инструмент за разузнаване, който помага на атакуващите да картографират мрежови активи, да идентифицират уязвимости и да получат информация за потенциални цели в мрежата, което спомага за по-ефективни и фокусирани атаки.
  • Pocassist : Инструмент, предназначен да помогне при създаването и експлоатацията на експлойти за проверка на концепцията (PoC), помагайки на атакуващите да автоматизират процеса на тестване на уязвимости и изпълнение на целеви експлойти.
  • GOSINT : Инструмент, използван за събиране на разузнавателна информация с отворен код (OSINT), който помага на атакуващите да събират публично достъпна информация, която да им помогне при разузнаването, като например данни за служителите, подробности за мрежата или друга чувствителна информация, която може да бъде използвана при атаки.
  • GO Simple Tunnel : Прост инструмент за тунелиране, използван от нападателите за заобикаляне на защитни стени и други мерки за мрежова сигурност, създавайки криптирани тунели, които могат да се използват за неоткрито преместване на трафик или достъп до ограничени системи.
  • GO Прост тунел

Този усъвършенстван набор от инструменти, съчетан с използването на китайска инфраструктура, е силен признак за заплашителен актьор, действащ от Китай.

Да останем напред: Защитни стратегии срещу продължаващата експлоатация

Въпреки че са издадени корекции за сигурност, вредната активност продължава в пейзажа след корекцията, което показва, че вече внедрените уеб обвивки се пренасочват и разширяват от широк спектър от измамници, от опортюнисти до висококвалифицирани противници. В тази развиваща се среда на заплахи, организациите трябва да внедрят цялостни мерки за отстраняване, които включват бързо прилагане на официални актуализации на SAP, внимателно ограничаване на достъпа до уязвими крайни точки и деактивиране на несъществени услуги като Visual Composer.

Освен това, поддържането на повишена бдителност чрез непрекъснато наблюдение на системата и лог файловете за аномално поведение остава от съществено значение. Тези защитни усилия са жизненоважни за ограничаване на потенциала за по-нататъшни компромиси и за защита на оперативната цялост на SAP инфраструктурите.

Тенденция

Calmarean.co.in

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
В епоха, в която почти всяко онлайн взаимодействие носи потенциални рискове, потребителите трябва да останат бдителни. Една единствена грешна стъпка, като кликване върху подозрителна връзка или...

Плажни тапети Разширение за браузър

Потенциално нежелани програми, Похитители на браузъри
Разширението Beach Wallpaper първоначално изглежда безобидно, предлагайки на потребителите привлекателна функция за показване на живописни тапети на браузъра с плажна тематика. Въпреки това, след...

Най-гледан

Зареждане...