Monen lisenssin alennustarjous
Uhatietokanta Haavoittuvuus CVE-2025-31324 Haavoittuvuus

CVE-2025-31324 Haavoittuvuus

Vuonna Mezo vuonna Haavoittuvuus
Käännä:

Tietoturvatutkijat ovat yhdistäneet Kiinaan kytköksissä olevan uhkatoimijan, Chaya_004, kriittisen SAP NetWeaver -haavoittuvuuden CVE-2025-31324 hyödyntämiseen. Haavoittuvuudella on korkein CVSS-pistemäärä 10,0, ja se mahdollistaa hyökkääjien etäkoodin suorittamisen (RCE) lataamalla uhkaavia verkkokuoria haavoittuvan /developmentserver/metadatauploader -päätepisteen kautta.

Tämä haavoittuvuus sai ensimmäisen kerran huomiota huhtikuun lopulla 2025, kun tietoturvatiimit havaitsivat, että sitä hyödynnettiin aktiivisesti. Hyökkääjät ovat käyttäneet sitä web-kuorten ja hyväksikäytön jälkeisten työkalujen, kuten Brute Ratel C4:n, käyttöönottoon.

The Fallout: Teollisuusalueet tähtäimessä

Maaliskuusta 2025 lähtien tätä haavoittuvuutta on käytetty laajalti väärin eri toimialoilla ja maantieteellisillä alueilla. Alkuperäisen hyväksikäytön uskotaan tapahtuneen jo 12. maaliskuuta, ja vahvistettuja onnistuneita tunkeutumisia on tapahtunut 14. ja 31. maaliskuuta välisenä aikana.

Vaarantuneet sektorit sisältävät:

  • Energia ja yleishyödylliset palvelut
  • Valmistus
  • Media ja viihde
  • Öljy ja kaasu
  • Lääkkeet
  • Vähittäiskaupan ja valtion organisaatiot

Nämä laajalle levinneet hyökkäykset viittaavat maailmanlaajuiseen kampanjaan, joka voi vaikuttaa satoihin SAP-järjestelmiin.

Haitallisen infrastruktuurin sisällä

Uhkatoimija Chaya_004 on ollut näiden kampanjoiden eturintamassa ja isännöinyt verkkopohjaista käänteistä hyökkäysjärjestelmää nimeltä SuperShell IP-osoitteessa 47.97.42[.]177. Tämä infrastruktuuri paljasti myös muita epäilyttäviä elementtejä:

  • Portti 3232/HTTP, joka tarjoaa itse allekirjoitetun varmenteen, joka jäljittelee Cloudflarea
  • Useita kiinankielisiä työkaluja ja palveluita, joita isännöidään kiinalaisten pilvipalveluntarjoajien kautta

Ryhmään liittyviä haittaohjelmatyökaluja ovat:

  • NPS (Network Policy Server) : Tätä työkalua käytetään usein verkon käyttöoikeuskäytäntöjen hallintaan. Hyökkääjät voivat hyödyntää sitä verkkoliikenteen manipulointiin, mikä voi mahdollistaa luvattoman käytön tai häiritä viestintää.
  • SoftEther VPN : Monipuolinen, avoimen lähdekoodin VPN-ohjelmisto, jota hyökkääjät voivat käyttää väärin ohittaakseen verkon tietoturvan ja muodostaakseen salattuja yhteyksiä etäjärjestelmiin, mikä auttaa salaa tapahtuvassa tiedon vuotamisessa tai sivuttaissiirrossa vaarantuneissa verkoissa.
  • Cobalt Strike : Laajalti tunnettu jälkihyökkäystyökalu, jota käytetään edistyneiden jatkuvien uhkien torjuntaan. Sen avulla hyökkääjät voivat simuloida tosielämän kyberhyökkäyksiä, jolloin he voivat hallita ja hyödyntää vaarantuneita koneita salaa.
  • Asset Reconnaissance Lighthouse (ARL) : Tiedustelutyökalu, joka auttaa hyökkääjiä kartoittamaan verkkoresursseja, tunnistamaan haavoittuvuuksia ja saamaan tietoa verkon mahdollisista kohteista, mikä auttaa tehokkaammissa ja kohdennetuissa hyökkäyksissä.
  • Pocassist : Työkalu, joka on suunniteltu auttamaan konseptitodistushyökkäysten (PoC) luomisessa ja hyödyntämisessä. Se auttaa hyökkääjiä automatisoimaan haavoittuvuuksien testausprosessin ja kohdennettujen hyökkäysten suorittamisen.
  • GOSINT : Avoimen lähdekoodin tiedustelutietojen (OSINT) keräämiseen käytetty työkalu, joka auttaa hyökkääjiä keräämään julkisesti saatavilla olevia tietoja tiedustelun tueksi, kuten työntekijätietoja, verkkotietoja tai muita arkaluonteisia tietoja, joita voidaan hyödyntää hyökkäyksissä.
  • GO Simple Tunnel : Hyökkääjien käyttämä yksinkertainen tunnelointityökalu palomuurien ja muiden verkon turvatoimien ohittamiseen ja salattujen tunnelien luomiseen, joita voidaan käyttää liikenteen siirtämiseen huomaamatta tai rajoitettuihin järjestelmiin pääsyyn.
  • GO Yksinkertainen tunneli

Tämä hienostunut työkalupakki yhdistettynä kiinalaisen infrastruktuurin käyttöön viittaa vahvasti Kiinasta käsin toimivaan uhkatoimijaan.

Etukäteen pysyminen: Puolustusstrategiat jatkuvaa hyväksikäyttöä vastaan

Vaikka tietoturvapäivityksiä on julkaistu, vahingollista toimintaa esiintyy edelleen päivitysten jälkeen. Tämä osoittaa, että aiemmin käyttöönotettuja verkkokuoria käytetään uudelleen ja laajennetaan laajan kirjon huijareiden toimesta, aina opportunisteista erittäin taitaviin hyökkääjiin. Tässä kehittyvässä uhkaympäristössä organisaatioiden on toteutettava kattavia korjaavia toimenpiteitä, joihin kuuluu virallisten SAP-päivitysten nopea käyttöönotto, haavoittuvien päätepisteiden käytön huolellinen rajoittaminen ja ei-välttämättömien palveluiden, kuten Visual Composerin, deaktivointi.

Lisäksi on tärkeää ylläpitää tehostettua valppautta jatkuvan järjestelmän ja lokien valvonnan avulla poikkeavan käyttäytymisen varalta. Nämä puolustustoimet ovat elintärkeitä lisätietomurtojen mahdollisuuksien hillitsemiseksi ja SAP-infrastruktuurien toiminnallisen eheyden turvaamiseksi.

Trendaavat

Eniten katsottu

Ladataan...