Preventivo sconto multi-licenza
Database delle minacce Vulnerabilità Vulnerabilità CVE-2025-31324

Vulnerabilità CVE-2025-31324

Entro Mezo nel Vulnerabilità
Traduci in:

I ricercatori di sicurezza hanno collegato un autore di minacce affiliato alla Cina, denominato Chaya_004, allo sfruttamento di una vulnerabilità critica di SAP NetWeaver, identificata come CVE-2025-31324. Con il punteggio CVSS più alto, pari a 10.0, questa falla consente agli aggressori di eseguire codice in modalità remota (RCE) caricando Web shell pericolose tramite l'endpoint vulnerabile /developmentserver/metadatauploader.

Questa vulnerabilità ha attirato l'attenzione per la prima volta alla fine di aprile 2025, quando i team di sicurezza informatica hanno scoperto che era attivamente sfruttata in natura. Gli aggressori l'hanno utilizzata per implementare web shell e strumenti di post-sfruttamento come Brute Ratel C4.

The Fallout: industrie nel mirino

Da marzo 2025, questa vulnerabilità è stata ampiamente sfruttata in diversi settori e aree geografiche. Si ritiene che il primo sfruttamento sia avvenuto già il 12 marzo, con intrusioni confermate tra il 14 e il 31 marzo.

I settori compromessi includono:

  • Energia e servizi di pubblica utilità
  • Produzione
  • Media e intrattenimento
  • Petrolio e gas
  • Prodotti farmaceutici
  • Organizzazioni commerciali e governative

Questi attacchi diffusi sono indice di una campagna globale, che potrebbe potenzialmente colpire centinaia di sistemi SAP.

All’interno dell’infrastruttura dannosa

L'autore della minaccia Chaya_004 è stato in prima linea in queste campagne, ospitando una reverse shell basata sul Web chiamata SuperShell sull'indirizzo IP 47.97.42[.]177. Questa infrastruttura ha rivelato anche altri elementi sospetti:

  • Porta 3232/HTTP, che fornisce un certificato autofirmato che imita Cloudflare
  • Numerosi strumenti e servizi in lingua cinese ospitati tramite provider cloud cinesi

Gli strumenti malware associati al gruppo includono:

  • NPS (Network Policy Server) : questo strumento viene spesso utilizzato per gestire le policy di accesso alla rete. Gli aggressori possono sfruttarlo per manipolare il traffico di rete, consentendo potenzialmente accessi non autorizzati o interrompendo le comunicazioni.
  • SoftEther VPN : un software VPN versatile e open source che può essere utilizzato in modo improprio dagli aggressori per aggirare la sicurezza della rete e stabilire connessioni crittografate con sistemi remoti, facilitando l'esfiltrazione furtiva dei dati o lo spostamento laterale all'interno delle reti compromesse.
  • Cobalt Strike : uno strumento di post-exploitation ampiamente noto, utilizzato per minacce persistenti avanzate. Consente agli aggressori di simulare attacchi informatici reali, consentendo loro di controllare e sfruttare segretamente i computer compromessi.
  • Asset Reconnaissance Lighthouse (ARL) : uno strumento di ricognizione che aiuta gli aggressori a mappare le risorse di rete, identificare le vulnerabilità e ottenere informazioni sui potenziali obiettivi all'interno di una rete, contribuendo ad attacchi più efficaci e mirati.
  • Pocassist : uno strumento progettato per assistere nella creazione e nello sfruttamento di exploit proof-of-concept (PoC), aiutando gli aggressori ad automatizzare il processo di test delle vulnerabilità ed esecuzione di exploit mirati.
  • GOSINT : strumento utilizzato per la raccolta di informazioni di intelligence open source (OSINT), che aiuta gli aggressori a raccogliere informazioni disponibili al pubblico per agevolare la ricognizione, come dati sui dipendenti, dettagli di rete o altre informazioni sensibili che possono essere sfruttate negli attacchi.
  • GO Simple Tunnel : un semplice strumento di tunneling utilizzato dagli aggressori per aggirare i firewall e altre misure di sicurezza della rete, creando tunnel crittografati che possono essere utilizzati per spostare il traffico senza essere rilevati o per accedere a sistemi con restrizioni.
  • GO Tunnel semplice

Questo sofisticato kit di strumenti, abbinato all'uso di infrastrutture cinesi, indica con forza la presenza di un attore della minaccia che opera dalla Cina.

Rimanere in vantaggio: strategie di difesa contro lo sfruttamento continuo

Nonostante le patch di sicurezza siano state rilasciate, l'attività dannosa persiste nel panorama post-patch, a indicare che le web shell precedentemente implementate vengono riutilizzate ed estese da un ampio spettro di truffatori, dagli opportunisti agli avversari altamente qualificati. In questo contesto di minacce in continua evoluzione, le organizzazioni devono implementare misure di ripristino complete, che includono la tempestiva applicazione degli aggiornamenti SAP ufficiali, l'attenta limitazione dell'accesso agli endpoint vulnerabili e la disattivazione di servizi non essenziali come Visual Composer.

Inoltre, è fondamentale mantenere un elevato livello di vigilanza attraverso il monitoraggio continuo del sistema e dei log per individuare comportamenti anomali. Questi sforzi difensivi sono fondamentali per limitare il rischio di ulteriori compromissioni e salvaguardare l'integrità operativa delle infrastrutture SAP.

Tendenza

I più visti

Caricamento in corso...