ភាពងាយរងគ្រោះ CVE-2025-31324
អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខបានភ្ជាប់តួអង្គគំរាមកំហែងដែលជាប់ពាក់ព័ន្ធជាមួយប្រទេសចិនដែលមានឈ្មោះថា Chaya_004 ទៅនឹងការកេងប្រវ័ញ្ចនៃភាពងាយរងគ្រោះ SAP NetWeaver ដ៏សំខាន់ដែលត្រូវបានកំណត់ថាជា CVE-2025-31324 ។ ដោយទទួលបានពិន្ទុ CVSS ខ្ពស់បំផុតនៃ 10.0 កំហុសនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារសម្រេចបាននូវការប្រតិបត្តិលេខកូដពីចម្ងាយ (RCE) ដោយបង្ហោះសែលបណ្តាញគំរាមកំហែងតាមរយៈចំណុចបញ្ចប់ /developmentserver/metadatauploader ដែលងាយរងគ្រោះ។
ភាពងាយរងគ្រោះនេះទទួលបានការចាប់អារម្មណ៍ជាលើកដំបូងនៅចុងខែមេសា ឆ្នាំ 2025 នៅពេលដែលក្រុម infosec បានរកឃើញថាវាត្រូវបានកេងប្រវ័ញ្ចយ៉ាងសកម្មនៅក្នុងព្រៃ។ អ្នកវាយប្រហារបាននឹងកំពុងប្រើប្រាស់វាដើម្បីដាក់ពង្រាយ web shells និងឧបករណ៍ក្រោយការកេងប្រវ័ញ្ចដូចជា Brute Ratel C4 ជាដើម។
តារាងមាតិកា
The Fallout: ឧស្សាហកម្មនៅក្នុង Crosshairs
ចាប់តាំងពីខែមីនា ឆ្នាំ 2025 ភាពងាយរងគ្រោះនេះត្រូវបានរំលោភបំពានយ៉ាងទូលំទូលាយនៅទូទាំងឧស្សាហកម្ម និងភូមិសាស្ត្រផ្សេងៗ។ ការកេងប្រវ័ញ្ចដំបូងត្រូវបានគេជឿថាបានកើតឡើងនៅដើមថ្ងៃទី 12 ខែមីនា ជាមួយនឹងការឈ្លានពានដែលបានបញ្ជាក់ដោយជោគជ័យបានកើតឡើងនៅចន្លោះថ្ងៃទី 14 ខែមីនាដល់ថ្ងៃទី 31 ខែមីនា។
វិស័យដែលសម្របសម្រួលរួមមានៈ
- ថាមពល និងឧបករណ៍ប្រើប្រាស់
- ការផលិត
- ប្រព័ន្ធផ្សព្វផ្សាយ និងការកម្សាន្ត
- ប្រេងនិងឧស្ម័ន
- ឱសថ
- ហាងលក់រាយ និងអង្គការរដ្ឋាភិបាល
ការវាយប្រហាររីករាលដាលទាំងនេះចង្អុលទៅយុទ្ធនាការជាសកល ដែលអាចប៉ះពាល់ដល់ប្រព័ន្ធ SAP រាប់រយ។
នៅខាងក្នុងហេដ្ឋារចនាសម្ព័ន្ធដែលបង្កគ្រោះថ្នាក់
តួអង្គគំរាមកំហែង Chaya_004 បានស្ថិតនៅជួរមុខនៃយុទ្ធនាការទាំងនេះ ដោយបង្ហោះសែលបញ្ច្រាសតាមគេហទំព័រហៅថា SuperShell នៅលើអាសយដ្ឋាន IP 47.97.42[.]177។ ហេដ្ឋារចនាសម្ព័ន្ធនេះក៏បានបង្ហាញពីធាតុគួរឱ្យសង្ស័យផ្សេងទៀតផងដែរ៖
- ច្រក 3232/HTTP បម្រើវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯងដែលធ្វើត្រាប់តាម Cloudflare
- ឧបករណ៍ និងសេវាកម្មជាភាសាចិនជាច្រើនដែលរៀបចំតាមរយៈអ្នកផ្តល់សេវាពពកចិន
ឧបករណ៍ Malware ដែលភ្ជាប់ជាមួយក្រុមរួមមាន:
- NPS (Network Policy Server) : ឧបករណ៍នេះត្រូវបានប្រើជាញឹកញាប់ដើម្បីគ្រប់គ្រងគោលការណ៍ចូលប្រើបណ្តាញ។ អ្នកវាយប្រហារអាចកេងប្រវ័ញ្ចវាដើម្បីគ្រប់គ្រងចរាចរបណ្តាញ ដែលអាចបើកការចូលដោយគ្មានការអនុញ្ញាត ឬរំខានដល់ការទំនាក់ទំនង។
កញ្ចប់ឧបករណ៍ទំនើបនេះ គួបផ្សំនឹងការប្រើប្រាស់ហេដ្ឋារចនាសម្ព័ន្ធរបស់ចិន បង្ហាញយ៉ាងច្បាស់ពីសកម្មភាពគំរាមកំហែងដែលប្រតិបត្តិការពីប្រទេសចិន។
បន្តទៅមុខ៖ យុទ្ធសាស្ត្រការពារប្រឆាំងនឹងការកេងប្រវ័ញ្ចដែលកំពុងបន្ត
ទោះបីជាបំណះសុវត្ថិភាពត្រូវបានចេញក៏ដោយ សកម្មភាពបំផ្លាញនៅតែបន្តកើតមាននៅក្នុងទិដ្ឋភាពក្រោយបំណះ ដែលបង្ហាញថាសំបកគេហទំព័រដែលបានដាក់ពង្រាយពីមុនកំពុងត្រូវបានកែច្នៃឡើងវិញ និងពង្រីកដោយវិសាលគមទូលំទូលាយនៃអ្នកក្លែងបន្លំ ពីអ្នកឆ្លៀតឱកាសទៅសត្រូវដែលមានជំនាញខ្ពស់។ នៅក្នុងបរិយាកាសគំរាមកំហែងដែលកំពុងវិវត្តនេះ អង្គការនានាត្រូវតែអនុវត្តវិធានការដោះស្រាយដ៏ទូលំទូលាយ ដែលរួមមានការអនុវត្តភ្លាមៗនៃការធ្វើបច្ចុប្បន្នភាពផ្លូវការរបស់ SAP ការរឹតបន្តឹងយ៉ាងប្រុងប្រយ័ត្ននៃការចូលទៅកាន់ចំណុចបញ្ចប់ដែលងាយរងគ្រោះ និងការបិទដំណើរការសេវាកម្មមិនសំខាន់ដូចជា Visual Composer ជាដើម។
លើសពីនេះ ការរក្សាការប្រុងប្រយ័ត្នខ្ពស់តាមរយៈប្រព័ន្ធបន្ត និងការត្រួតពិនិត្យកំណត់ហេតុសម្រាប់អាកប្បកិរិយាមិនប្រក្រតីនៅតែចាំបាច់។ កិច្ចខិតខំប្រឹងប្រែងការពារទាំងនេះមានសារៈសំខាន់ណាស់ក្នុងការទប់ស្កាត់សក្តានុពលសម្រាប់ការសម្របសម្រួលបន្ថែមទៀត និងការការពារបូរណភាពប្រតិបត្តិការនៃហេដ្ឋារចនាសម្ព័ន្ធ SAP ។
