Ponuda s popustom na više licenci
Baza prijetnji Ranjivost Ranjivost CVE-2025-31324

Ranjivost CVE-2025-31324

Do Mezo. Ranjivost. godine
Prevedi na:

Sigurnosni istraživači povezali su kineskog napadača nazvanog Chaya_004 s iskorištavanjem kritične ranjivosti SAP NetWeavera identificirane kao CVE-2025-31324. S najvišim CVSS rezultatom od 10,0, ova ranjivost omogućuje napadačima udaljeno izvršavanje koda (RCE) učitavanjem prijetećih web-ljuski putem ranjive krajnje točke /developmentserver/metadatauploader.

Ova ranjivost prvi put je privukla pozornost krajem travnja 2025., kada su timovi za informacijsku sigurnost otkrili da se aktivno iskorištava. Napadači su je koristili za postavljanje web ljuski i alata za naknadnu eksploataciju poput Brute Ratel C4.

Posljedice: Industrije na meti

Od ožujka 2025. ova se ranjivost uvelike zloupotrebljava u raznim industrijama i geografskim područjima. Vjeruje se da se početno iskorištavanje dogodilo već 12. ožujka, a potvrđeni uspješni upadi dogodili su se između 14. i 31. ožujka.

Ugroženi sektori uključuju:

  • Energija i komunalne usluge
  • Proizvodnja
  • Mediji i zabava
  • Nafta i plin
  • Farmaceutski proizvodi
  • Maloprodajne i vladine organizacije

Ovi rašireni napadi ukazuju na globalnu kampanju koja potencijalno utječe na stotine SAP sustava.

Unutar štetne infrastrukture

Prijetnja Chaya_004 bio je na čelu ovih kampanja, hostirajući web-bazirani obrnuti shell pod nazivom SuperShell na IP adresi 47.97.42[.]177. Ova infrastruktura otkrila je i druge sumnjive elemente:

  • Port 3232/HTTP, koji poslužuje samopotpisani certifikat koji oponaša Cloudflare
  • Višestruki alati i usluge na kineskom jeziku hostirani su putem kineskih pružatelja usluga u oblaku

Zlonamjerni alati povezani s grupom uključuju:

  • NPS (Network Policy Server) : Ovaj se alat često koristi za upravljanje pravilima mrežnog pristupa. Napadači ga mogu iskoristiti za manipuliranje mrežnim prometom, što potencijalno omogućuje neovlašteni pristup ili ometa komunikaciju.
  • SoftEther VPN : Svestran VPN softver otvorenog koda koji napadači mogu zloupotrijebiti za zaobilaženje mrežne sigurnosti i uspostavljanje šifriranih veza s udaljenim sustavima, pomažući u prikrivenom krađi podataka ili lateralnom kretanju unutar kompromitiranih mreža.
  • Cobalt Strike : Široko poznati alat za naknadnu eksploataciju koji se koristi za napredne trajne prijetnje. Omogućuje napadačima simulaciju stvarnih kibernetičkih napada, dajući im mogućnost prikrivene kontrole i iskorištavanja kompromitiranih računala.
  • Svjetionik za izviđanje imovine (ARL) : Alat za izviđanje koji pomaže napadačima mapirati mrežnu imovinu, identificirati ranjivosti i dobiti uvid u potencijalne mete unutar mreže, što pomaže u učinkovitijim i fokusiranijim napadima.
  • Pocassist : Alat osmišljen za pomoć u stvaranju i iskorištavanju proof-of-concept (PoC) exploita, pomažući napadačima da automatiziraju proces testiranja ranjivosti i izvršavanja ciljanih exploita.
  • GOSINT : Alat koji se koristi za prikupljanje obavještajnih podataka otvorenog koda (OSINT) koji pomaže napadačima u prikupljanju javno dostupnih informacija koje pomažu u izviđanju, kao što su podaci o zaposlenicima, detalji o mreži ili druge osjetljive informacije koje se mogu iskoristiti u napadima.
  • GO Simple Tunnel : Jednostavan alat za tuneliranje koji napadači koriste za zaobilaženje vatrozida i drugih mjera mrežne sigurnosti, stvarajući šifrirane tunele koji se mogu koristiti za neotkriveno premještanje prometa ili pristup ograničenim sustavima.
  • GO Jednostavni tunel

Ovaj sofisticirani skup alata, u kombinaciji s korištenjem kineske infrastrukture, snažno ukazuje na prijetnju koja djeluje iz Kine.

Ostati ispred: Obrambene strategije protiv kontinuiranog iskorištavanja

Iako su izdane sigurnosne zakrpe, štetne aktivnosti i dalje postoje nakon objave zakrpa, što ukazuje na to da se prethodno implementirane web ljuske prenamjenjuju i proširuju od strane širokog spektra prevaranata, od oportunista do visokokvalificiranih protivnika. U ovom okruženju prijetnji koje se stalno mijenjaju, organizacije moraju provesti sveobuhvatne mjere sanacije, koje uključuju brzu primjenu službenih SAP ažuriranja, pažljivo ograničavanje pristupa ranjivim krajnjim točkama i deaktivaciju nebitnih usluga poput Visual Composera.

Osim toga, održavanje pojačane budnosti kroz kontinuirano praćenje sustava i zapisnika radi anomalnog ponašanja ostaje ključno. Ovi obrambeni napori ključni su za suzbijanje potencijala za daljnje kompromitiranje i zaštitu operativnog integriteta SAP infrastrukture.

U trendu

Nagledanije

Učitavam...