CVE-2025-31324 भेद्यता
सुरक्षा शोधकर्ताओं ने चीन से जुड़े एक ख़तरा अभिनेता, जिसे चाया_004 कहा जाता है, को CVE-2025-31324 के रूप में पहचानी गई एक महत्वपूर्ण SAP NetWeaver भेद्यता के शोषण से जोड़ा है। 10.0 के उच्चतम CVSS स्कोर को लेकर, यह दोष हमलावरों को असुरक्षित /developmentserver/metadatauploader एंडपॉइंट के माध्यम से ख़तरनाक वेब शेल अपलोड करके रिमोट कोड निष्पादन (RCE) प्राप्त करने की अनुमति देता है।
इस भेद्यता ने पहली बार अप्रैल 2025 के अंत में ध्यान आकर्षित किया, जब इन्फोसेक टीमों ने पाया कि इसका सक्रिय रूप से शोषण किया जा रहा है। हमलावर इसका उपयोग वेब शेल और ब्रूट रैटल सी4 जैसे पोस्ट-एक्सप्लॉइटेशन टूल को तैनात करने के लिए कर रहे हैं।
विषयसूची
नतीजा: निशाने पर उद्योग
मार्च 2025 से, इस भेद्यता का विभिन्न उद्योगों और भौगोलिक क्षेत्रों में व्यापक रूप से दुरुपयोग किया गया है। माना जाता है कि प्रारंभिक शोषण 12 मार्च को ही शुरू हो गया था, और 14 मार्च से 31 मार्च के बीच सफल घुसपैठ की पुष्टि हुई।
समझौता किये गये क्षेत्रों में निम्नलिखित शामिल हैं:
- ऊर्जा एवं उपयोगिताएँ
- उत्पादन
- मीडिया और मनोरंजन
- तेल और गैस
- दवाइयों
- खुदरा और सरकारी संगठन
ये व्यापक हमले एक वैश्विक अभियान की ओर इशारा करते हैं, जो संभवतः सैकड़ों SAP प्रणालियों को प्रभावित कर सकता है।
हानिकारक बुनियादी ढांचे के अंदर
इन अभियानों में सबसे आगे छाया_004 नाम का एक खतरनाक व्यक्ति रहा है, जिसने IP पते 47.97.42[.]177 पर सुपरशेल नामक एक वेब-आधारित रिवर्स शेल होस्ट किया है। इस बुनियादी ढांचे ने अन्य संदिग्ध तत्वों का भी खुलासा किया:
- पोर्ट 3232/HTTP, क्लाउडफ्लेयर की नकल करते हुए एक स्व-हस्ताक्षरित प्रमाणपत्र प्रदान करता है
- चीनी क्लाउड प्रदाताओं के माध्यम से होस्ट किए गए अनेक चीनी भाषा के उपकरण और सेवाएँ
समूह से जुड़े मैलवेयर उपकरणों में शामिल हैं:
- एनपीएस (नेटवर्क पॉलिसी सर्वर) : इस टूल का इस्तेमाल अक्सर नेटवर्क एक्सेस पॉलिसी को मैनेज करने के लिए किया जाता है। हमलावर इसका इस्तेमाल नेटवर्क ट्रैफ़िक में हेरफेर करने, संभावित रूप से अनधिकृत एक्सेस को सक्षम करने या संचार को बाधित करने के लिए कर सकते हैं।
यह परिष्कृत टूलकिट, चीनी बुनियादी ढांचे के उपयोग के साथ मिलकर, चीन से संचालित एक खतरा पैदा करने वाले अभिनेता की ओर स्पष्ट संकेत देता है।
आगे बने रहना: जारी शोषण के विरुद्ध रक्षा रणनीतियाँ
हालाँकि सुरक्षा पैच जारी किए गए हैं, लेकिन पैच के बाद के परिदृश्य में हानिकारक गतिविधि जारी है, जो दर्शाता है कि पहले से तैनात वेब शेल को धोखेबाजों के एक व्यापक स्पेक्ट्रम द्वारा पुनः उपयोग और विस्तारित किया जा रहा है, जिसमें अवसरवादियों से लेकर अत्यधिक कुशल विरोधी शामिल हैं। इस उभरते हुए खतरे के माहौल में, संगठनों को व्यापक उपचार उपायों को लागू करना चाहिए, जिसमें आधिकारिक SAP अपडेट का त्वरित अनुप्रयोग, कमजोर एंडपॉइंट तक पहुँच का सावधानीपूर्वक प्रतिबंध और विज़ुअल कंपोजर जैसी गैर-आवश्यक सेवाओं को निष्क्रिय करना शामिल है।
इसके अतिरिक्त, असामान्य व्यवहार के लिए निरंतर सिस्टम और लॉग मॉनिटरिंग के माध्यम से उच्च सतर्कता बनाए रखना आवश्यक है। ये रक्षात्मक प्रयास आगे के समझौते की संभावना को रोकने और SAP अवसंरचनाओं की परिचालन अखंडता की सुरक्षा के लिए महत्वपूर्ण हैं।
