Ευπάθεια CVE-2025-31324
Ερευνητές ασφαλείας συνέδεσαν έναν απειλητικό παράγοντα που συνδέεται με την Κίνα, με την ονομασία Chaya_004, με την εκμετάλλευση μιας κρίσιμης ευπάθειας του SAP NetWeaver που αναγνωρίστηκε ως CVE-2025-31324. Με την υψηλότερη βαθμολογία CVSS 10,0, αυτό το ελάττωμα επιτρέπει στους εισβολείς να επιτύχουν απομακρυσμένη εκτέλεση κώδικα (RCE) ανεβάζοντας απειλητικά κελύφη ιστού μέσω του ευάλωτου τελικού σημείου /developmentserver/metadatauploader.
Αυτή η ευπάθεια τράβηξε την προσοχή για πρώτη φορά στα τέλη Απριλίου 2025, όταν ομάδες ασφαλείας πληροφοριών ανακάλυψαν ότι γινόταν αντικείμενο ενεργής εκμετάλλευσης. Οι εισβολείς τη χρησιμοποιούν για να αναπτύξουν web shells και εργαλεία post-exploitation όπως το Brute Ratel C4.
Πίνακας περιεχομένων
The Fallout: Οι βιομηχανίες στο στόχαστρο
Από τον Μάρτιο του 2025, αυτή η ευπάθεια έχει γίνει αντικείμενο εκτεταμένης κατάχρησης σε διάφορους κλάδους και γεωγραφικές περιοχές. Η αρχική εκμετάλλευση πιστεύεται ότι έλαβε χώρα ήδη από τις 12 Μαρτίου, με επιβεβαιωμένες επιτυχημένες εισβολές να πραγματοποιούνται μεταξύ 14 Μαρτίου και 31 Μαρτίου.
Οι τομείς που έχουν πληγεί περιλαμβάνουν:
- Ενέργεια και επιχειρήσεις κοινής ωφέλειας
- Βιομηχανοποίηση
- Μέσα ενημέρωσης και ψυχαγωγία
- Πετρέλαιο και φυσικό αέριο
- Φαρμακευτικά προϊόντα
- Λιανικό εμπόριο και κυβερνητικοί οργανισμοί
Αυτές οι εκτεταμένες επιθέσεις υποδηλώνουν μια παγκόσμια εκστρατεία, η οποία ενδεχομένως να επηρεάσει εκατοντάδες συστήματα SAP.
Μέσα στις Επιβλαβείς Υποδομές
Ο απειλητικός παράγοντας Chaya_004 βρισκόταν στην πρώτη γραμμή αυτών των καμπανιών, φιλοξενώντας ένα web-based reverse shell που ονομάζεται SuperShell στη διεύθυνση IP 47.97.42[.]177. Αυτή η υποδομή αποκάλυψε επίσης και άλλα ύποπτα στοιχεία:
- Θύρα 3232/HTTP, που εξυπηρετεί ένα αυτο-υπογεγραμμένο πιστοποιητικό που μιμείται το Cloudflare
- Πολλαπλά εργαλεία και υπηρεσίες κινεζικής γλώσσας που φιλοξενούνται μέσω κινεζικών παρόχων cloud
Τα εργαλεία κακόβουλου λογισμικού που σχετίζονται με την ομάδα περιλαμβάνουν:
- NPS (Διακομιστής Πολιτικής Δικτύου) : Αυτό το εργαλείο χρησιμοποιείται συχνά για τη διαχείριση πολιτικών πρόσβασης δικτύου. Οι εισβολείς μπορούν να το εκμεταλλευτούν για να χειραγωγήσουν την κυκλοφορία δικτύου, ενδεχομένως επιτρέποντας μη εξουσιοδοτημένη πρόσβαση ή διακόπτοντας την επικοινωνία.
Αυτό το εξελιγμένο σύνολο εργαλείων, σε συνδυασμό με τη χρήση κινεζικής υποδομής, υποδηλώνει έντονα έναν απειλητικό παράγοντα που λειτουργεί από την Κίνα.
Παραμένοντας μπροστά: Στρατηγικές άμυνας κατά της συνεχιζόμενης εκμετάλλευσης
Παρόλο που έχουν εκδοθεί ενημερώσεις ασφαλείας, η επιβλαβής δραστηριότητα εξακολουθεί να υπάρχει στο τοπίο μετά την ενημέρωση, υποδεικνύοντας ότι τα προηγουμένως ανεπτυγμένα web shells επαναχρησιμοποιούνται και επεκτείνονται από ένα ευρύ φάσμα απατεώνων, από καιροσκόπους έως επιτιθέμενους με υψηλή εξειδίκευση. Σε αυτό το εξελισσόμενο περιβάλλον απειλών, οι οργανισμοί πρέπει να εφαρμόσουν ολοκληρωμένα μέτρα αποκατάστασης, τα οποία περιλαμβάνουν την άμεση εφαρμογή επίσημων ενημερώσεων SAP, τον προσεκτικό περιορισμό της πρόσβασης σε ευάλωτα τερματικά σημεία και την απενεργοποίηση μη απαραίτητων υπηρεσιών όπως το Visual Composer.
Επιπλέον, η διατήρηση αυξημένης επαγρύπνησης μέσω της συνεχούς παρακολούθησης του συστήματος και των αρχείων καταγραφής για ασυνήθιστη συμπεριφορά παραμένει απαραίτητη. Αυτές οι αμυντικές προσπάθειες είναι ζωτικής σημασίας για τον περιορισμό της πιθανότητας περαιτέρω παραβίασης και τη διαφύλαξη της λειτουργικής ακεραιότητας των υποδομών SAP.
