قیمت چند مجوز تخفیف
پایگاه داده تهدید آسیب پذیری آسیب‌پذیری CVE-2025-31324

آسیب‌پذیری CVE-2025-31324

تا Mezo در آسیب پذیری
ترجمه به:

محققان امنیتی یک عامل تهدید وابسته به چین به نام Chaya_004 را به سوءاستفاده از یک آسیب‌پذیری حیاتی SAP NetWeaver که با شناسه CVE-2025-31324 شناسایی می‌شود، مرتبط دانسته‌اند. این نقص که بالاترین امتیاز CVSS یعنی ۱۰.۰ را دارد، به مهاجمان اجازه می‌دهد تا با بارگذاری پوسته‌های وب تهدیدآمیز از طریق نقطه پایانی آسیب‌پذیر /developmentserver/metadatauploader، به اجرای کد از راه دور (RCE) دست یابند.

این آسیب‌پذیری اولین بار در اواخر آوریل ۲۰۲۵ مورد توجه قرار گرفت، زمانی که تیم‌های امنیت اطلاعات متوجه شدند که به‌طور فعال در سطح اینترنت مورد سوءاستفاده قرار می‌گیرد. مهاجمان از آن برای استقرار پوسته‌های وب و ابزارهای پس از بهره‌برداری مانند Brute Ratel C4 استفاده کرده‌اند.

پیامدها: صنایع در تیررس

از مارس ۲۰۲۵، این آسیب‌پذیری به طور گسترده در صنایع و مناطق جغرافیایی مختلف مورد سوءاستفاده قرار گرفته است. اعتقاد بر این است که بهره‌برداری اولیه از آن در اوایل ۱۲ مارس رخ داده است و نفوذهای موفقیت‌آمیز تأیید شده بین ۱۴ تا ۳۱ مارس رخ داده است.

بخش‌های آسیب‌دیده عبارتند از:

  • انرژی و خدمات رفاهی
  • تولید
  • رسانه و سرگرمی
  • نفت و گاز
  • داروسازی
  • خرده فروشی و سازمان های دولتی

این حملات گسترده به یک کمپین جهانی اشاره دارد که به طور بالقوه صدها سیستم SAP را تحت تأثیر قرار می‌دهد.

درون زیرساخت‌های مضر

عامل تهدید Chaya_004 در خط مقدم این کمپین‌ها بوده و میزبان یک پوسته معکوس مبتنی بر وب به نام SuperShell در آدرس IP 47.97.42[.]177 بوده است. این زیرساخت همچنین عناصر مشکوک دیگری را آشکار کرد:

  • پورت ۳۲۳۲/HTTP، که یک گواهی خودامضا را ارائه می‌دهد و از Cloudflare تقلید می‌کند
  • ابزارها و سرویس‌های متعدد به زبان چینی که از طریق ارائه‌دهندگان ابری چینی میزبانی می‌شوند

ابزارهای بدافزار مرتبط با این گروه عبارتند از:

  • NPS (سرور سیاست شبکه) : این ابزار اغلب برای مدیریت سیاست‌های دسترسی به شبکه استفاده می‌شود. مهاجمان می‌توانند از آن برای دستکاری ترافیک شبکه سوءاستفاده کنند و به طور بالقوه دسترسی غیرمجاز یا اختلال در ارتباطات را ممکن سازند.
  • SoftEther VPN : یک نرم‌افزار VPN متن‌باز و همه‌کاره که می‌تواند توسط مهاجمان برای دور زدن امنیت شبکه و ایجاد اتصالات رمزگذاری‌شده به سیستم‌های از راه دور مورد سوءاستفاده قرار گیرد و به استخراج مخفیانه داده‌ها یا جابجایی جانبی در شبکه‌های آسیب‌دیده کمک کند.
  • Cobalt Strike : یک ابزار پس از بهره‌برداری شناخته‌شده که برای تهدیدات پیشرفته‌ی مداوم استفاده می‌شود. این ابزار به مهاجمان اجازه می‌دهد تا حملات سایبری دنیای واقعی را شبیه‌سازی کنند و به آنها توانایی کنترل و بهره‌برداری مخفیانه از دستگاه‌های آسیب‌دیده را می‌دهد.
  • فانوس دریایی شناسایی دارایی (ARL) : یک ابزار شناسایی که به مهاجمان کمک می‌کند تا دارایی‌های شبکه را ترسیم کنند، آسیب‌پذیری‌ها را شناسایی کنند و در مورد اهداف بالقوه در یک شبکه بینش کسب کنند و به حملات مؤثرتر و متمرکزتر کمک کنند.
  • Pocassist : ابزاری که برای کمک به ایجاد و بهره‌برداری از اکسپلویت‌های اثبات مفهوم (PoC) طراحی شده است و به مهاجمان کمک می‌کند تا فرآیند آزمایش آسیب‌پذیری‌ها و اجرای اکسپلویت‌های هدفمند را خودکار کنند.
  • GOSINT : ابزاری که برای جمع‌آوری اطلاعات متن‌باز (OSINT) استفاده می‌شود و به مهاجمان کمک می‌کند تا اطلاعات عمومی موجود را برای کمک به شناسایی، مانند داده‌های کارمندان، جزئیات شبکه یا سایر اطلاعات حساس که می‌توانند در حملات مورد استفاده قرار گیرند، جمع‌آوری کنند.
  • GO Simple Tunnel : یک ابزار تونل‌سازی ساده که توسط مهاجمان برای دور زدن فایروال‌ها و سایر اقدامات امنیتی شبکه استفاده می‌شود و تونل‌های رمزگذاری‌شده‌ای ایجاد می‌کند که می‌توانند برای انتقال ترافیک به صورت ناشناس یا دسترسی به سیستم‌های محدود استفاده شوند.
  • برو تونل ساده

    • این ابزار پیشرفته، همراه با استفاده از زیرساخت‌های چینی، قویاً نشان‌دهنده‌ی وجود یک عامل تهدید از چین است.

    پیشتازی: استراتژی‌های دفاعی در برابر سوءاستفاده‌های مداوم

    اگرچه وصله‌های امنیتی منتشر شده‌اند، اما فعالیت‌های مخرب پس از وصله‌ها همچنان ادامه دارد و این نشان می‌دهد که پوسته‌های وب قبلاً مستقر شده توسط طیف وسیعی از کلاهبرداران، از فرصت‌طلبان گرفته تا دشمنان بسیار ماهر، در حال تغییر کاربری و گسترش هستند. در این محیط تهدید در حال تحول، سازمان‌ها باید اقدامات اصلاحی جامعی را اجرا کنند، که شامل اعمال سریع به‌روزرسانی‌های رسمی SAP، محدود کردن دقیق دسترسی به نقاط انتهایی آسیب‌پذیر و غیرفعال کردن سرویس‌های غیرضروری مانند Visual Composer می‌شود.

    علاوه بر این، حفظ هوشیاری بیشتر از طریق نظارت مداوم بر سیستم و گزارش‌ها برای رفتارهای غیرعادی همچنان ضروری است. این تلاش‌های دفاعی برای مهار احتمال نفوذ بیشتر و حفظ یکپارچگی عملیاتی زیرساخت‌های SAP حیاتی هستند.

    پرطرفدار

    پربیننده ترین

    بد افزار

    فیشینگ, هرزنامه
    33,573
    پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
    بارگذاری...