Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Pažeidžiamumas CVE-2025-31324 pažeidžiamumas

CVE-2025-31324 pažeidžiamumas

Autorius Mezo, Pažeidžiamumas
Versti į:

Saugumo tyrėjai susiejo su Kinija susijusį grėsmių veikėją, pravarde Chaya_004, su kritinės SAP NetWeaver pažeidžiamumo, identifikuoto kaip CVE-2025-31324, išnaudojimu. Šis trūkumas, turintis aukščiausią CVSS balą – 10,0, leidžia užpuolikams pasiekti nuotolinį kodo vykdymą (RCE), įkeliant grėsmingus žiniatinklio apvalkalus per pažeidžiamą /developmentserver/metadatauploader galinį tašką.

Ši pažeidžiamumas pirmą kartą sulaukė dėmesio 2025 m. balandžio pabaigoje, kai informacijos saugumo komandos aptiko, kad juo aktyviai naudojamasi. Užpuolikai jį naudoja diegdami žiniatinklio apvalkalus ir po išnaudojimo įrankius, tokius kaip „Brute Ratel C4“.

„The Fallout“: pramonės šakos taikiklyje

Nuo 2025 m. kovo mėn. šiuo pažeidžiamumu buvo plačiai piktnaudžiaujama įvairiose pramonės šakose ir geografinėse vietovėse. Manoma, kad pirmasis išnaudojimas įvyko jau kovo 12 d., o patvirtinti sėkmingi įsilaužimai įvyko nuo kovo 14 iki kovo 31 d.

Pažeisti sektoriai apima:

  • Energetika ir komunalinės paslaugos
  • Gamyba
  • Žiniasklaida ir pramogos
  • Nafta ir dujos
  • Farmacija
  • Mažmeninės prekybos ir vyriausybinės organizacijos

Šios plačiai paplitusios atakos rodo pasaulinę kampaniją, galinčią paveikti šimtus SAP sistemų.

Žalingos infrastruktūros viduje

Šių kampanijų priešakyje buvo grėsmių veikėjas Chaya_004, kuris IP adresu 47.97.42[.]177 talpino žiniatinklio atvirkštinę programą, vadinamą „SuperShell“. Ši infrastruktūra taip pat atskleidė kitų įtartinų elementų:

  • 3232/HTTP prievadas, aptarnaujantis savarankiškai pasirašytą sertifikatą, imituojantį „Cloudflare“
  • Įvairūs kinų kalbos įrankiai ir paslaugos, teikiamos per Kinijos debesijos paslaugų teikėjus

Su grupe susiję kenkėjiškų programų įrankiai:

  • NPS (tinklo politikos serveris) : šis įrankis dažnai naudojamas tinklo prieigos politikoms valdyti. Užpuolikai gali jį išnaudoti norėdami manipuliuoti tinklo srautu, galbūt suteikdami neteisėtą prieigą arba sutrikdydami ryšį.
  • „SoftEther VPN“ : universali, atvirojo kodo VPN programinė įranga, kuria užpuolikai gali piktnaudžiauti, norėdami apeiti tinklo saugumą ir užmegzti užšifruotus ryšius su nuotolinėmis sistemomis, taip padėdami slaptam duomenų nutekėjimui arba horizontaliam judėjimui pažeistuose tinkluose.
  • „Cobalt Strike“ : plačiai žinoma po išnaudojimo priemonė, naudojama sudėtingoms nuolatinėms grėsmėms. Ji leidžia užpuolikams imituoti realaus pasaulio kibernetines atakas, suteikdama jiems galimybę slapta valdyti ir išnaudoti pažeistus kompiuterius.
  • „Asset Reconnaissance Lighthouse“ (ARL) : žvalgybos įrankis, padedantis užpuolikams sudaryti tinklo išteklių žemėlapį, nustatyti pažeidžiamumus ir gauti įžvalgų apie galimus taikinius tinkle, padedant vykdyti efektyvesnes ir tikslingesnes atakas.
  • „Pocassist“ : įrankis, skirtas padėti kurti ir išnaudoti koncepcijos įrodymo (PoC) spragas, padedantis užpuolikams automatizuoti pažeidžiamumų testavimo procesą ir vykdyti tikslines spragas.
  • GOSINT : įrankis, naudojamas atvirojo kodo žvalgybos (OSINT) informacijai rinkti, padedantis užpuolikams rinkti viešai prieinamą informaciją, pavyzdžiui, darbuotojų duomenis, tinklo informaciją ar kitą neskelbtiną informaciją, kurią galima panaudoti atakose.
  • GO Simple Tunnel : paprastas tuneliavimo įrankis, kurį užpuolikai naudoja apeidami ugniasienes ir kitas tinklo saugumo priemones, kurdami užšifruotus tunelius, kuriuos galima naudoti nepastebimai perkelti srautą arba pasiekti ribotas sistemas.
  • GO paprastas tunelis

Šis sudėtingas įrankių rinkinys kartu su Kinijos infrastruktūros naudojimu aiškiai rodo grėsmės veikėją, veikiantį iš Kinijos.

Išlikti priekyje: gynybos strategijos nuo nuolatinio išnaudojimo

Nors išleisti saugumo pataisymai, žalinga veikla tęsiasi ir po pataisymų, o tai rodo, kad anksčiau diegtus žiniatinklio apvalkalus perdirba ir plečia įvairūs sukčiai – nuo oportunistų iki aukštos kvalifikacijos priešininkų. Šioje besikeičiančioje grėsmių aplinkoje organizacijos privalo įgyvendinti išsamias taisomąsias priemones, įskaitant greitą oficialių SAP atnaujinimų diegimą, kruopštų prieigos prie pažeidžiamų galinių taškų apribojimą ir nebūtinų paslaugų, tokių kaip „Visual Composer“, išjungimą.

Be to, labai svarbu nuolat stebėti sistemą ir žurnalus, ar nėra anomalios elgsenos. Šios gynybinės pastangos yra gyvybiškai svarbios siekiant sumažinti tolesnio pažeidimo tikimybę ir apsaugoti SAP infrastruktūrų veikimo vientisumą.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
33,573
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...