Rabattilbud med flere licenser
Trusseldatabase Sårbarhed CVE-2025-31324 Sårbarhed

CVE-2025-31324 Sårbarhed

Med Mezo i Sårbarhed
Oversæt til:

Sikkerhedsforskere har knyttet en Kina-tilknyttet trusselsaktør, kaldet Chaya_004, til udnyttelsen af en kritisk SAP NetWeaver-sårbarhed identificeret som CVE-2025-31324. Denne fejl, der har den højeste CVSS-score på 10,0, giver angribere mulighed for at udføre fjernkode (RCE) ved at uploade truende webshells via det sårbare /developmentserver/metadatauploader-slutpunkt.

Denne sårbarhed fik første gang opmærksomhed i slutningen af april 2025, da infosec-teams opdagede, at den aktivt blev udnyttet i naturen. Angribere har brugt den til at implementere web shells og post-exploitation-værktøjer som Brute Ratel C4.

Fallout: Industrier i sigtekornet

Siden marts 2025 er denne sårbarhed blevet misbrugt i vid udstrækning på tværs af forskellige brancher og geografiske områder. Den første udnyttelse menes at have fundet sted så tidligt som den 12. marts, med bekræftede succesfulde indbrud, der fandt sted mellem den 14. og 31. marts.

De kompromitterede sektorer omfatter:

  • Energi og forsyningsvirksomheder
  • Produktion
  • Medier og underholdning
  • Olie og gas
  • Lægemidler
  • Detailhandel og offentlige organisationer

Disse udbredte angreb peger på en global kampagne, der potentielt påvirker hundredvis af SAP-systemer.

Inde i den skadelige infrastruktur

Trusselaktøren Chaya_004 har været i spidsen for disse kampagner og har hostet en webbaseret reverse shell kaldet SuperShell på IP-adressen 47.97.42[.]177. Denne infrastruktur afslørede også andre mistænkelige elementer:

  • Port 3232/HTTP, der serverer et selvsigneret certifikat, der efterligner Cloudflare
  • Flere kinesisksprogede værktøjer og tjenester hostes af kinesiske cloududbydere

Malware-værktøjer tilknyttet gruppen omfatter:

  • NPS (Network Policy Server) : Dette værktøj bruges ofte til at administrere politikker for netværksadgang. Angribere kan udnytte det til at manipulere netværkstrafik, hvilket potentielt muliggør uautoriseret adgang eller afbryder kommunikationen.
  • SoftEther VPN : En alsidig open source VPN-software, der kan misbruges af angribere til at omgå netværkssikkerhed og etablere krypterede forbindelser til eksterne systemer, hvilket hjælper med skjult dataudvinding eller lateral bevægelse inden for kompromitterede netværk.
  • Cobalt Strike : Et bredt kendt værktøj efter udnyttelse, der bruges til avancerede, vedvarende trusler. Det giver angribere mulighed for at simulere cyberangreb i den virkelige verden, hvilket giver dem mulighed for at kontrollere og udnytte kompromitterede maskiner i hemmelighed.
  • Asset Reconnaissance Lighthouse (ARL) : Et rekognosceringsværktøj, der hjælper angribere med at kortlægge netværksaktiver, identificere sårbarheder og få indsigt i potentielle mål i et netværk, hvilket bidrager til mere effektive og fokuserede angreb.
  • Pocassist : Et værktøj designet til at hjælpe med oprettelse og udnyttelse af proof-of-concept (PoC) exploits, hvilket hjælper angribere med at automatisere processen med at teste sårbarheder og udføre målrettede exploits.
  • GOSINT : Et værktøj, der bruges til indsamling af open source-efterretninger (OSINT), som hjælper angribere med at indsamle offentligt tilgængelige oplysninger for at understøtte rekognoscering, såsom medarbejderdata, netværksdetaljer eller andre følsomme oplysninger, der kan udnyttes i angreb.
  • GO Simple Tunnel : Et simpelt tunneleringsværktøj, der bruges af angribere til at omgå firewalls og andre netværkssikkerhedsforanstaltninger og skabe krypterede tunneler, der kan bruges til at flytte trafik uopdaget eller få adgang til begrænsede systemer.
  • GO Simple Tunnel

Dette sofistikerede værktøjssæt, kombineret med brugen af kinesisk infrastruktur, indikerer stærkt en trusselsaktør, der opererer fra Kina.

At forblive på forkant: Forsvarsstrategier mod vedvarende udnyttelse

Selvom der er blevet udstedt sikkerhedsrettelser, fortsætter der skadelig aktivitet i efter-rettelseslandskabet, hvilket indikerer, at tidligere implementerede web shells genbruges og udvides af en bred vifte af svindlere, fra opportunister til højt kvalificerede modstandere. I dette udviklende trusselsmiljø skal organisationer implementere omfattende afhjælpende foranstaltninger, som omfatter hurtig anvendelse af officielle SAP-opdateringer, omhyggelig begrænsning af adgang til sårbare endpoints og deaktivering af ikke-essentielle tjenester såsom Visual Composer.

Derudover er det fortsat vigtigt at opretholde øget årvågenhed gennem kontinuerlig system- og logovervågning for unormal adfærd. Disse defensive tiltag er afgørende for at begrænse potentialet for yderligere kompromittering og beskytte SAP-infrastrukturernes operationelle integritet.

Trending

Mest sete

Indlæser...