CVE-2025-31324 sebezhetőség

Biztonsági kutatók egy Kínához köthető fenyegetési szereplőt, a Chaya_004-et hoztak összefüggésbe egy kritikus SAP NetWeaver sebezhetőség, a CVE-2025-31324 kihasználásával. A legmagasabb, 10,0-s CVSS pontszámmal rendelkező hiba lehetővé teszi a támadók számára, hogy távoli kódfuttatást (RCE) érjenek el fenyegető webes shell-ek feltöltésével a sebezhető /developmentserver/metadatauploader végponton keresztül.

Ez a sebezhetőség először 2025 áprilisának végén keltette fel a figyelmet, amikor az infosec csapatok felfedezték, hogy aktívan kihasználják. A támadók webes shelleket és utólagos kihasználási eszközöket, például a Brute Ratel C4-et használják fel.

The Fallout: Célkeresztben lévő iparágak

2025 márciusa óta ezt a sebezhetőséget széles körben kihasználták különböző iparágakban és földrajzi területeken. A kezdeti kihasználásra úgy vélik, hogy már március 12-én sor került, a megerősített sikeres behatolásokra pedig március 14. és március 31. között került sor.

A veszélyeztetett ágazatok a következők:

• Energia és közművek
• Gyártás
• Média és szórakoztatás
• Olaj és gáz
• Gyógyszeripari termékek
• Kiskereskedelmi és kormányzati szervezetek

Ezek a széles körű támadások egy globális kampányra utalnak, amely potenciálisan több száz SAP rendszert érinthet.

A káros infrastruktúra belsejében

A Chaya_004 nevű fenyegetés szereplője állt ezen kampányok élén, egy SuperShell nevű webalapú fordított shell-t üzemeltetve a 47.97.42[.]177 IP-címen. Ez az infrastruktúra más gyanús elemeket is feltárt:

• 3232/HTTP port, amely egy önaláírt, a Cloudflare-t utánzó tanúsítványt szolgál ki
• Több kínai nyelvű eszköz és szolgáltatás kínai felhőszolgáltatókon keresztül

A csoporthoz kapcsolódó kártevőeszközök a következők:

• NPS (hálózati házirend-kiszolgáló) : Ezt az eszközt gyakran használják hálózati hozzáférési házirendek kezelésére. A támadók kihasználhatják a hálózati forgalom manipulálására, ami potenciálisan jogosulatlan hozzáférést tesz lehetővé vagy megzavarja a kommunikációt.
• SoftEther VPN : Sokoldalú, nyílt forráskódú VPN szoftver, amelyet a támadók visszaélhetnek a hálózati biztonság megkerülésével és titkosított kapcsolatok létrehozásával távoli rendszerekkel, elősegítve a titkos adatszivárgást vagy az oldalirányú mozgást a feltört hálózatokon belül.

• Cobalt Strike : Egy széles körben ismert utólagos kizsákmányolási eszköz, amelyet fejlett, állandó fenyegetések ellen használnak. Lehetővé teszi a támadók számára, hogy valós kibertámadásokat szimuláljanak, így képesek titokban irányítani és kihasználni a feltört gépeket.

• Asset Reconnaissance Lighthouse (ARL) : Egy felderítő eszköz, amely segít a támadóknak feltérképezni a hálózati eszközöket, azonosítani a sebezhetőségeket, és betekintést nyerni a hálózaton belüli potenciális célpontokba, elősegítve a hatékonyabb és célzottabb támadásokat.

• Pocassist : Egy eszköz, amely a koncepcióbizonyítási (PoC) támadások létrehozásának és kihasználásának elősegítésére szolgál, segítve a támadókat a sebezhetőségek tesztelésének automatizálásában és a célzott támadások végrehajtásában.

• GOSINT : Nyílt forráskódú hírszerzési (OSINT) eszköz, amely segít a támadóknak nyilvánosan elérhető információk gyűjtésében a felderítés elősegítése érdekében, például alkalmazotti adatok, hálózati részletek vagy más érzékeny információk, amelyeket támadásokban felhasználhatnak.

• GO Simple Tunnel : Egy egyszerű alagútkezelő eszköz, amelyet a támadók a tűzfalak és más hálózati biztonsági intézkedések megkerülésére használnak, titkosított alagutakat hozva létre, amelyek segítségével észrevétlenül mozgatható a forgalom, vagy korlátozott rendszerekhez lehet hozzáférni.

• GO Egyszerű alagút

Ez a kifinomult eszköztár, a kínai infrastruktúra használatával párosulva, erősen arra utal, hogy egy Kínából működő fenyegető szereplő áll a háttérben.

Előnyben maradni: Védelmi stratégiák a folyamatos kizsákmányolás ellen

Bár biztonsági javításokat adtak ki, a kártékony tevékenység a javítás utáni környezetben is folytatódik, ami arra utal, hogy a korábban telepített webshelleket a csalók széles köre, az opportunistáktól a magasan képzett ellenfelekig, újrahasznosítja és kiterjeszti. Ebben a változó fenyegetési környezetben a szervezeteknek átfogó korrekciós intézkedéseket kell végrehajtaniuk, amelyek magukban foglalják a hivatalos SAP-frissítések azonnali alkalmazását, a sebezhető végpontokhoz való hozzáférés gondos korlátozását, valamint a nem létfontosságú szolgáltatások, például a Visual Composer deaktiválását.

Emellett továbbra is elengedhetetlen a fokozott éberség fenntartása a folyamatos rendszer- és naplómonitorozás révén a rendellenes viselkedés észlelése érdekében. Ezek a védelmi intézkedések létfontosságúak a további kompromittálódás lehetőségének megfékezése és az SAP infrastruktúrák működési integritásának védelme érdekében.