Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Vulnerabilitat Vulnerabilitat CVE-2025-31324

Vulnerabilitat CVE-2025-31324

El Mezo el Vulnerabilitat
Traduir a:

Investigadors de seguretat han vinculat un actor d'amenaces afiliat a la Xina, anomenat Chaya_004, amb l'explotació d'una vulnerabilitat crítica de SAP NetWeaver identificada com a CVE-2025-31324. Amb la puntuació CVSS més alta de 10.0, aquesta falla permet als atacants aconseguir l'execució remota de codi (RCE) carregant shells web amenaçadors a través del punt final vulnerable /developmentserver/metadatauploader.

Aquesta vulnerabilitat va cridar l'atenció per primera vegada a finals d'abril de 2025, quan els equips de seguretat de la informació van descobrir que estava sent explotada activament. Els atacants l'han estat utilitzant per implementar shells web i eines de postexplotació com ara Brute Ratel C4.

Les conseqüències: les indústries en el punt de mira

Des del març del 2025, aquesta vulnerabilitat ha estat àmpliament utilitzada de manera abusiva en diverses indústries i geografies. Es creu que l'explotació inicial va tenir lloc ja el 12 de març, amb intrusions reeixides confirmades entre el 14 i el 31 de març.

Els sectors afectats inclouen:

  • Energia i serveis públics
  • Fabricació
  • Mitjans de comunicació i entreteniment
  • Petroli i gas
  • productes farmacèutics
  • Organitzacions minoristes i governamentals

Aquests atacs generalitzats apunten a una campanya global, que podria afectar centenars de sistemes SAP.

Dins de la infraestructura nociva

L'actor d'amenaces Chaya_004 ha estat al capdavant d'aquestes campanyes, allotjant una shell inversa basada en web anomenada SuperShell a l'adreça IP 47.97.42[.]177. Aquesta infraestructura també va revelar altres elements sospitosos:

  • Port 3232/HTTP, que serveix un certificat autosignat que imita Cloudflare
  • Diverses eines i serveis en xinès allotjats a través de proveïdors de núvol xinesos

Les eines de programari maliciós associades amb el grup inclouen:

  • NPS (Servidor de polítiques de xarxa) : aquesta eina s'utilitza sovint per gestionar les polítiques d'accés a la xarxa. Els atacants la poden explotar per manipular el trànsit de la xarxa, cosa que podria permetre l'accés no autoritzat o interrompre la comunicació.
  • SoftEther VPN : Un programari VPN versàtil i de codi obert que els atacants poden fer un ús indegut per eludir la seguretat de la xarxa i establir connexions xifrades amb sistemes remots, cosa que ajuda a l'exfiltració furtiva de dades o al moviment lateral dins de xarxes compromeses.
  • Cobalt Strike : Una eina de postexplotació àmpliament coneguda que s'utilitza per a amenaces persistents avançades. Permet als atacants simular ciberatacs del món real, donant-los la capacitat de controlar i explotar màquines compromeses de manera encoberta.
  • Far de reconeixement d'actius (ARL) : una eina de reconeixement que ajuda els atacants a cartografiar els actius de la xarxa, identificar vulnerabilitats i obtenir informació sobre possibles objectius dins d'una xarxa, cosa que ajuda a dur a terme atacs més eficaços i centrats.
  • Pocassist : una eina dissenyada per ajudar en la creació i explotació d'explotacions de prova de concepte (PoC), ajudant els atacants a automatitzar el procés de prova de vulnerabilitats i executar exploits dirigits.
  • GOSINT : Una eina utilitzada per a la recopilació d'intel·ligència de codi obert (OSINT), que ajuda els atacants a recopilar informació disponible públicament per ajudar en el reconeixement, com ara dades d'empleats, detalls de la xarxa o altra informació sensible que es pot aprofitar en atacs.
  • GO Simple Tunnel : Una eina de tunelització senzilla utilitzada pels atacants per eludir els tallafocs i altres mesures de seguretat de xarxa, creant túnels xifrats que es poden utilitzar per moure el trànsit sense ser detectat o accedir a sistemes restringits.
  • GO Túnel simple

Aquest sofisticat conjunt d'eines, juntament amb l'ús d'infraestructures xineses, indica clarament un actor amenaçador que opera des de la Xina.

Mantenir-se a l’avantguarda: estratègies de defensa contra l’explotació contínua

Tot i que s'han publicat pegats de seguretat, l'activitat perjudicial persisteix en el panorama posterior al pegat, cosa que indica que els web shells implementats anteriorment estan sent reutilitzats i ampliats per un ampli espectre de estafadors, des d'oportunistes fins a adversaris altament qualificats. En aquest entorn d'amenaces en evolució, les organitzacions han d'implementar mesures de remediació completes, que inclouen l'aplicació ràpida d'actualitzacions oficials de SAP, la restricció acurada de l'accés a punts finals vulnerables i la desactivació de serveis no essencials com ara Visual Composer.

A més, continua sent essencial mantenir una vigilància més elevada mitjançant la supervisió contínua del sistema i dels registres per detectar comportaments anòmals. Aquests esforços defensius són vitals per frenar el potencial de més compromisos i salvaguardar la integritat operativa de les infraestructures SAP.

Tendència

Més vist

Carregant...