Vairāku licenču atlaides piedāvājums
Draudu datu bāze Neaizsargātība CVE-2025-31324 ievainojamība

CVE-2025-31324 ievainojamība

Līdz Mezo. gadam Neaizsargātība. gadā
Tulkot uz:

Drošības pētnieki ir saistījuši ar Ķīnu saistītu apdraudējumu dalībnieku, sauktu par Chaya_004, ar kritiskas SAP NetWeaver ievainojamības, kas identificēta kā CVE-2025-31324, izmantošanu. Ar augstāko CVSS vērtējumu 10,0 šī nepilnība ļauj uzbrucējiem panākt attālinātu koda izpildi (RCE), augšupielādējot apdraudošus tīmekļa apvalkus, izmantojot ievainojamu galapunktu /developmentserver/metadatauploader.

Šī ievainojamība pirmo reizi piesaistīja uzmanību 2025. gada aprīļa beigās, kad informācijas drošības komandas atklāja, ka tā tiek aktīvi izmantota. Uzbrucēji to izmanto, lai izvietotu tīmekļa čaulas un pēciedarbības rīkus, piemēram, Brute Ratel C4.

The Fallout: Nozares tēmēklī

Kopš 2025. gada marta šī ievainojamība ir plaši ļaunprātīgi izmantota dažādās nozarēs un ģeogrāfiskajos reģionos. Tiek uzskatīts, ka sākotnējā izmantošana notikusi jau 12. martā, un apstiprināti veiksmīgi ielaušanās gadījumi notikuši laikā no 14. marta līdz 31. martam.

Apdraudētās nozares ietver:

  • Enerģija un komunālie pakalpojumi
  • Ražošana
  • Mediji un izklaide
  • Nafta un gāze
  • Farmācija
  • Mazumtirdzniecības un valdības organizācijas

Šie plaši izplatītie uzbrukumi norāda uz globālu kampaņu, kas potenciāli var ietekmēt simtiem SAP sistēmu.

Kaitīgās infrastruktūras iekšpusē

Šo kampaņu priekšgalā ir bijis apdraudējumu izpildītājs Chaya_004, kas IP adresē 47.97.42[.]177 uztur tīmekļa apgriezto čaulu ar nosaukumu SuperShell. Šī infrastruktūra atklāja arī citus aizdomīgus elementus:

  • 3232. ports/HTTP, kas apkalpo pašparakstītu sertifikātu, kas atdarina Cloudflare
  • Vairāki ķīniešu valodas rīki un pakalpojumi, ko mitina Ķīnas mākoņpakalpojumu sniedzēji

Ar grupu saistītie ļaunprogrammatūras rīki ietver:

  • NPS (tīkla politikas serveris) : Šis rīks bieži tiek izmantots tīkla piekļuves politiku pārvaldībai. Uzbrucēji to var izmantot, lai manipulētu ar tīkla trafiku, potenciāli nodrošinot nesankcionētu piekļuvi vai traucējot saziņu.
  • SoftEther VPN : daudzpusīga, atvērtā koda VPN programmatūra, ko uzbrucēji var ļaunprātīgi izmantot, lai apietu tīkla drošību un izveidotu šifrētus savienojumus ar attālām sistēmām, tādējādi palīdzot slepeni veikt datu noplūdi vai sānu pārvietošanos apdraudētos tīklos.
  • Cobalt Strike : plaši pazīstams rīks uzbrukumu novēršanai pēc ekspluatācijas, ko izmanto sarežģītu pastāvīgu apdraudējumu novēršanai. Tas ļauj uzbrucējiem simulēt reālus kiberuzbrukumus, dodot viņiem iespēju slepeni kontrolēt un izmantot apdraudētas ierīces.
  • Resursu izlūkošanas bāka (ARL) : izlūkošanas rīks, kas palīdz uzbrucējiem kartēt tīkla resursus, identificēt ievainojamības un gūt ieskatu par potenciālajiem mērķiem tīklā, tādējādi palīdzot veikt efektīvākus un mērķtiecīgākus uzbrukumus.
  • Pocassist : rīks, kas izstrādāts, lai palīdzētu izveidot un izmantot koncepcijas pierādījuma (PoC) ielaušanās gadījumus, palīdzot uzbrucējiem automatizēt ievainojamību testēšanas procesu un mērķtiecīgu ielaušanās gadījumu izpildi.
  • GOSINT : rīks, ko izmanto atvērtā pirmkoda izlūkošanas (OSINT) vākšanai, kas palīdz uzbrucējiem apkopot publiski pieejamu informāciju, lai palīdzētu izlūkošanā, piemēram, darbinieku datus, tīkla informāciju vai citu sensitīvu informāciju, ko var izmantot uzbrukumos.
  • GO Simple Tunnel : vienkāršs tunelēšanas rīks, ko uzbrucēji izmanto, lai apietu ugunsmūrus un citus tīkla drošības pasākumus, izveidojot šifrētus tuneļus, kurus var izmantot, lai nemanīti pārvietotu datplūsmu vai piekļūtu ierobežotām sistēmām.
  • GO Vienkāršs tunelis

Šis sarežģītais rīku komplekts apvienojumā ar Ķīnas infrastruktūras izmantošanu stingri norāda uz draudu dalībnieku, kas darbojas no Ķīnas.

Saglabājot soli priekšā: aizsardzības stratēģijas pret notiekošo ekspluatāciju

Lai gan ir izlaisti drošības ielāpi, pēc ielāpu ieviešanas joprojām pastāv kaitīga darbība, kas norāda, ka iepriekš izvietotās tīmekļa čaulas tiek pārveidotas un paplašinātas plaša krāpnieku spektra, sākot no oportūnistiem līdz augsti kvalificētiem pretiniekiem. Šajā mainīgajā apdraudējumu vidē organizācijām ir jāievieš visaptveroši korektīvi pasākumi, kas ietver oficiālu SAP atjauninājumu tūlītēju ieviešanu, rūpīgu piekļuves ierobežošanu neaizsargātiem galapunktiem un nebūtisku pakalpojumu, piemēram, Visual Composer, deaktivizēšanu.

Turklāt joprojām ir svarīgi saglabāt pastiprinātu modrību, nepārtraukti uzraugot sistēmu un žurnālus, lai atklātu anomālu uzvedību. Šie aizsardzības pasākumi ir vitāli svarīgi, lai ierobežotu turpmāku kompromitēšanas iespējamību un aizsargātu SAP infrastruktūru darbības integritāti.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
33,573
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...