Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Haavatavus CVE-2025-31324 haavatavus

CVE-2025-31324 haavatavus

Aastaks Mezo aastal Haavatavus
Tõlgi:

Turvauurijad on seostanud Hiinaga seotud ohutegijat Chaya_004 kriitilise SAP NetWeaveri haavatavuse CVE-2025-31324 ärakasutamisega. Kõrgeima CVSS-skooriga 10,0 viga võimaldab ründajatel saavutada koodi kaugkäivitamist (RCE), laadides üles ohtlikke veebikestasid haavatava lõpp-punkti /developmentserver/metadatauploader kaudu.

See haavatavus pälvis esmakordselt tähelepanu 2025. aasta aprilli lõpus, kui infoturbe meeskonnad avastasid, et seda aktiivselt ära kasutatakse. Ründajad on seda kasutanud veebikestade ja järelkasutustööriistade, näiteks Brute Ratel C4, juurutamiseks.

The Fallout: tööstusharud sihikule võetud

Alates 2025. aasta märtsist on seda haavatavust laialdaselt kuritarvitatud erinevates tööstusharudes ja geograafilistes piirkondades. Arvatakse, et esialgne ärakasutamine toimus juba 12. märtsil ning kinnitatud edukad sissetungid toimusid 14. märtsi ja 31. märtsi vahel.

Ohustatud sektorite hulka kuuluvad:

  • Energia ja kommunaalteenused
  • Tootmine
  • Meedia ja meelelahutus
  • Nafta ja gaas
  • Ravimid
  • Jaekaubandus- ja valitsusasutused

Need laialt levinud rünnakud viitavad ülemaailmsele kampaaniale, mis võib potentsiaalselt mõjutada sadu SAP-süsteeme.

Kahjuliku infrastruktuuri sees

Ohutegelase Chaya_004 eestvedajaks on olnud nende kampaaniate korraldamine, majutades IP-aadressil 47.97.42[.]177 veebipõhist pöördkoori nimega SuperShell. See infrastruktuur paljastas ka muid kahtlaseid elemente:

  • Port 3232/HTTP, mis pakub iseallkirjastatud sertifikaati, mis jäljendab Cloudflare'i
  • Mitmed hiinakeelsed tööriistad ja teenused, mida majutavad Hiina pilveteenuse pakkujad

Selle grupiga seotud pahavara tööriistade hulka kuuluvad:

  • NPS (võrgupoliitika server) : seda tööriista kasutatakse sageli võrgule juurdepääsu poliitikate haldamiseks. Ründajad saavad seda ära kasutada võrguliikluse manipuleerimiseks, mis võib potentsiaalselt võimaldada volitamata juurdepääsu või häirida suhtlust.
  • SoftEther VPN : mitmekülgne avatud lähtekoodiga VPN-tarkvara, mida ründajad saavad kuritarvitada võrgu turvalisuse möödahiilimiseks ja krüptitud ühenduste loomiseks kaugsüsteemidega, aidates kaasa andmete salajasele väljavoolule või külgmisele liikumisele ohustatud võrkudes.
  • Cobalt Strike : laialdaselt tuntud järelkasutustööriist, mida kasutatakse edasijõudnud püsivate ohtude korral. See võimaldab ründajatel simuleerida reaalseid küberrünnakuid, andes neile võimaluse ohustatud masinaid salaja kontrollida ja ära kasutada.
  • Varade luure tuletorn (ARL) : luuretööriist, mis aitab ründajatel kaardistada võrguvarasid, tuvastada haavatavusi ja saada teavet võrgu potentsiaalsete sihtmärkide kohta, aidates kaasa tõhusamatele ja sihipärasematele rünnakutele.
  • Pocassist : tööriist, mis on loodud kontseptsioonitõendusrünnakute (PoC) loomise ja ärakasutamise abistamiseks, aidates ründajatel automatiseerida haavatavuste testimise ja sihipäraste ärakasutamise protsessi.
  • GOSINT : Avatud lähtekoodiga luureandmete (OSINT) kogumiseks kasutatav tööriist, mis aitab ründajatel koguda luuretegevuse hõlbustamiseks avalikult kättesaadavat teavet, näiteks töötajate andmeid, võrguandmeid või muud tundlikku teavet, mida saab rünnakutes ära kasutada.
  • GO Simple Tunnel : Lihtne tunneltööriist, mida ründajad kasutavad tulemüüride ja muude võrgu turvameetmete möödahiilimiseks, luues krüpteeritud tunneleid, mida saab kasutada liikluse märkamatuks liigutamiseks või piiratud süsteemidele juurdepääsuks.
  • GO Lihtne tunnel

See keerukas tööriistakomplekt koos Hiina infrastruktuuri kasutamisega viitab tugevalt Hiinast tegutsevale ohutegijale.

Eesotsas püsimine: kaitsestrateegiad jätkuva ekspluateerimise vastu

Kuigi turvapaigaldusi on välja antud, jätkub kahjulik tegevus ka pärast paigaldise ilmumist, mis näitab, et varem juurutatud veebikestasid kasutab ja laiendab lai spekter pettureid, alates oportunistidest kuni kõrgelt kvalifitseeritud vastasteni. Selles muutuvas ohukeskkonnas peavad organisatsioonid rakendama ulatuslikke parandusmeetmeid, mis hõlmavad ametlike SAP-i värskenduste viivitamatut rakendamist, haavatavatele lõpp-punktidele juurdepääsu hoolikat piiramist ja mittevajalike teenuste, näiteks Visual Composeri, deaktiveerimist.

Lisaks on oluline säilitada kõrgendatud valvsus pideva süsteemi ja logide jälgimise abil anomaalse käitumise suhtes. Need kaitsemeetmed on üliolulised edasise kompromiteerimise ohu piiramiseks ja SAP-infrastruktuuride töökindluse kaitsmiseks.

Trendikas

Enim vaadatud

Laadimine...