CVE-2025-31324 취약점

보안 연구원들은 Chaya_004라는 중국계 위협 행위자가 CVE-2025-31324로 식별된 SAP NetWeaver의 중요 취약점을 악용한 것으로 추정했습니다. CVSS에서 최고 점수인 10.0점을 받은 이 취약점은 공격자가 취약한 /developmentserver/metadatauploader 엔드포인트를 통해 위협적인 웹 셸을 업로드하여 원격 코드 실행(RCE)을 수행할 수 있도록 허용합니다.

이 취약점은 2025년 4월 말, 정보보안팀이 이 취약점이 실제로 활발하게 악용되고 있음을 발견하면서 처음 주목을 받았습니다. 공격자들은 이 취약점을 이용하여 웹 셸과 Brute Ratel C4와 같은 악용 후 도구를 배포해 왔습니다.

Fallout: 조준선에 놓인 산업

2025년 3월 이후 이 취약점은 다양한 산업과 지역에서 광범위하게 악용되어 왔습니다. 최초 악용은 3월 12일에 발생한 것으로 추정되며, 3월 14일부터 3월 31일 사이에 성공적인 침입이 확인되었습니다.

침해된 부문은 다음과 같습니다.

• 에너지 및 유틸리티
• 조작
• 미디어 및 엔터테인먼트
• 석유 및 가스
• 제약품
• 소매 및 정부 기관

이러한 광범위한 공격은 잠재적으로 수백 개의 SAP 시스템에 영향을 미칠 수 있는 글로벌 캠페인을 시사합니다.

유해한 인프라 내부

위협 행위자 Chaya_004는 이러한 공격의 선두에 서서 IP 주소 47.97.42[.]177에 SuperShell이라는 웹 기반 리버스 셸을 호스팅해 왔습니다. 이 인프라는 또한 다음과 같은 다른 의심스러운 요소들을 드러냈습니다.

• Cloudflare를 모방한 자체 서명 인증서 제공 포트 3232/HTTP
• 중국 클라우드 공급업체를 통해 호스팅되는 다양한 중국어 도구 및 서비스

이 그룹과 관련된 맬웨어 도구는 다음과 같습니다.

• NPS(네트워크 정책 서버) : 이 도구는 네트워크 접근 정책을 관리하는 데 자주 사용됩니다. 공격자는 이를 악용하여 네트워크 트래픽을 조작하여 무단 접근을 허용하거나 통신을 방해할 수 있습니다.

중국 인프라를 활용한다는 점과 더불어 이처럼 정교한 툴킷을 보면, 중국에서 활동하는 위협 주체가 있다는 것을 강력하게 알 수 있습니다.

앞서 나가기: 지속적인 악용에 대한 방어 전략

보안 패치가 배포되었지만, 패치 이후에도 여전히 피해가 지속되고 있습니다. 이는 기존에 배포된 웹 셸이 기회주의자부터 고도로 숙련된 공격자에 이르기까지 광범위한 사기꾼들에 의해 용도 변경 및 확장되고 있음을 시사합니다. 이처럼 끊임없이 변화하는 위협 환경에서 조직은 공식 SAP 업데이트의 신속한 적용, 취약한 엔드포인트에 대한 접근 제한, 그리고 Visual Composer와 같은 비필수 서비스 비활성화를 포함한 포괄적인 조치를 이행해야 합니다.

또한, 비정상적인 동작에 대한 지속적인 시스템 및 로그 모니터링을 통해 경계를 강화하는 것이 필수적입니다. 이러한 방어 노력은 추가 침해 가능성을 억제하고 SAP 인프라의 운영 무결성을 보호하는 데 필수적입니다.