Slevová nabídka pro více licencí
Databáze hrozeb Zranitelnost Zranitelnost CVE-2025-31324

Zranitelnost CVE-2025-31324

V roce Mezo v roce Zranitelnost
Přeložit do:

Bezpečnostní výzkumníci spojili čínského aktéra hrozby s názvem Chaya_004 se zneužitím kritické zranitelnosti v systému SAP NetWeaver, identifikované jako CVE-2025-31324. Tato chyba, která dosáhla nejvyššího skóre CVSS 10,0, umožňuje útočníkům dosáhnout vzdáleného spuštění kódu (RCE) nahráváním nebezpečných webových shellů prostřednictvím zranitelného koncového bodu /developmentserver/metadatauploader.

Tato zranitelnost poprvé upoutala pozornost koncem dubna 2025, kdy týmy informační bezpečnosti zjistily, že je aktivně zneužívána. Útočníci ji používají k nasazení webových shellů a nástrojů pro následné zneužití, jako je Brute Ratel C4.

The Fallout: Průmyslová odvětví v hledáčku

Od března 2025 je tato zranitelnost široce zneužívána v různých odvětvích a geografických oblastech. Předpokládá se, že k prvnímu zneužití došlo již 12. března, přičemž k potvrzeným úspěšným narušením došlo mezi 14. a 31. březnem.

Mezi ohrožené sektory patří:

  • Energie a veřejné služby
  • Výrobní
  • Média a zábava
  • Ropa a plyn
  • Farmaceutické výrobky
  • Maloobchodní a vládní organizace

Tyto rozsáhlé útoky poukazují na globální kampaň, která potenciálně postihuje stovky systémů SAP.

Uvnitř škodlivé infrastruktury

V popředí těchto kampaní stojí útočník Chaya_004, který hostuje webový reverzní shell s názvem SuperShell na IP adrese 47.97.42[.]177. Tato infrastruktura odhalila i další podezřelé prvky:

  • Port 3232/HTTP, obsluhující certifikát s vlastním podpisem napodobující Cloudflare
  • Více čínských nástrojů a služeb hostovaných prostřednictvím čínských poskytovatelů cloudových služeb

Mezi malwarové nástroje spojené se skupinou patří:

  • NPS (Network Policy Server) : Tento nástroj se často používá ke správě zásad přístupu k síti. Útočníci ho mohou zneužít k manipulaci se síťovým provozem, což může umožnit neoprávněný přístup nebo narušit komunikaci.
  • SoftEther VPN : Všestranný VPN software s otevřeným zdrojovým kódem, který mohou útočníci zneužít k obcházení zabezpečení sítě a navazování šifrovaných připojení ke vzdáleným systémům, což napomáhá nenápadnému úniku dat nebo bočnímu pohybu v rámci napadených sítí.
  • Cobalt Strike : Široce známý nástroj pro následné zneužití používaný pro pokročilé přetrvávající hrozby. Umožňuje útočníkům simulovat reálné kybernetické útoky, což jim dává možnost skrytě ovládat a zneužívat napadené počítače.
  • Asset Reconnaissance Lighthouse (ARL) : Průzkumný nástroj, který pomáhá útočníkům mapovat síťová aktiva, identifikovat zranitelnosti a získat informace o potenciálních cílech v síti, což napomáhá efektivnějším a cílenějším útokům.
  • Pocassist : Nástroj určený k usnadnění vytváření a zneužívání exploitů typu proof-of-concept (PoC), který útočníkům pomáhá automatizovat proces testování zranitelností a spouštění cílených exploitů.
  • GOSINT : Nástroj používaný pro shromažďování informací z otevřených zdrojů (OSINT), který pomáhá útočníkům shromažďovat veřejně dostupné informace pro účely průzkumu, jako jsou údaje o zaměstnancích, podrobnosti o síti nebo jiné citlivé informace, které lze zneužít při útocích.
  • GO Simple Tunnel : Jednoduchý tunelovací nástroj používaný útočníky k obcházení firewallů a dalších síťových bezpečnostních opatření. Vytváří šifrované tunely, které lze použít k nepozorovanému přesunu provozu nebo přístupu k omezeným systémům.
  • Jednoduchý tunel GO

Tato sofistikovaná sada nástrojů spolu s využitím čínské infrastruktury silně naznačuje, že hrozba operuje z Číny.

Udržet si náskok: Obranné strategie proti pokračujícímu vykořisťování

Přestože byly vydány bezpečnostní záplaty, škodlivá aktivita přetrvává i po jejich vydání, což naznačuje, že dříve nasazené webové shelly jsou přehodnocovány a rozšiřovány širokým spektrem podvodníků, od oportunistů až po vysoce kvalifikované útočníky. V tomto vyvíjejícím se prostředí hrozeb musí organizace zavést komplexní nápravná opatření, která zahrnují rychlou aplikaci oficiálních aktualizací SAP, pečlivé omezení přístupu ke zranitelným koncovým bodům a deaktivaci nepodstatných služeb, jako je Visual Composer.

Kromě toho je i nadále nezbytné udržovat zvýšenou ostražitost prostřednictvím nepřetržitého monitorování systémů a protokolů, aby se zabránilo anomálnímu chování. Tato obranná opatření jsou zásadní pro omezení potenciálu dalšího narušení bezpečnosti a ochranu provozní integrity infrastruktur SAP.

Trendy

Nejvíce shlédnuto

Načítání...