Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Keterdedahan CVE-2025-31324 Kerentanan

CVE-2025-31324 Kerentanan

Menjelang Mezo pada Keterdedahan
Terjemahkan ke

Penyelidik keselamatan telah mengaitkan pelakon ancaman yang berkaitan dengan China, digelar Chaya_004, dengan eksploitasi kerentanan SAP NetWeaver kritikal yang dikenal pasti sebagai CVE-2025-31324. Membawa skor CVSS tertinggi 10.0, kecacatan ini membenarkan penyerang mencapai pelaksanaan kod jauh (RCE) dengan memuat naik cengkerang Web yang mengancam melalui titik akhir /developmentserver/metadatauploader yang terdedah.

Kerentanan ini mula-mula mendapat perhatian pada akhir April 2025, apabila pasukan infosec mendapati ia dieksploitasi secara aktif di alam liar. Penyerang telah menggunakannya untuk menggunakan cengkerang web dan alatan pasca eksploitasi seperti Brute Ratel C4.

The Fallout: Industri dalam Crosshairs

Sejak Mac 2025, kerentanan ini telah disalahgunakan secara meluas merentas pelbagai industri dan geografi. Eksploitasi awal dipercayai berlaku seawal 12 Mac, dengan pencerobohan yang disahkan berjaya berlaku antara 14 Mac dan 31 Mac.

Sektor yang terjejas termasuk:

  • Tenaga dan utiliti
  • Pembuatan
  • Media dan hiburan
  • Minyak dan gas
  • Farmaseutikal
  • Peruncitan dan organisasi kerajaan

Serangan meluas ini menunjukkan kempen global, yang berpotensi menjejaskan ratusan sistem SAP.

Di dalam Infrastruktur Memudaratkan

Pelakon ancaman Chaya_004 telah berada di barisan hadapan kempen ini, menganjurkan cangkerang terbalik berasaskan Web yang dipanggil SuperShell pada alamat IP 47.97.42[.]177. Infrastruktur ini turut mendedahkan unsur-unsur lain yang mencurigakan:

  • Port 3232/HTTP, menyediakan sijil yang ditandatangani sendiri yang meniru Cloudflare
  • Pelbagai alatan dan perkhidmatan bahasa Cina yang dihoskan melalui pembekal awan Cina

Alat perisian hasad yang dikaitkan dengan kumpulan itu termasuk:

  • NPS (Network Policy Server) : Alat ini sering digunakan untuk mengurus dasar capaian rangkaian. Penyerang boleh mengeksploitasinya untuk memanipulasi trafik rangkaian, yang berpotensi membolehkan akses tanpa kebenaran atau mengganggu komunikasi.
  • SoftEther VPN : Perisian VPN sumber terbuka yang serba boleh yang boleh disalahgunakan oleh penyerang untuk memintas keselamatan rangkaian dan mewujudkan sambungan yang disulitkan ke sistem jauh, membantu dalam penyingkiran data yang tersembunyi atau pergerakan sisi dalam rangkaian yang terjejas.
  • Cobalt Strike : Alat pasca eksploitasi yang terkenal digunakan untuk ancaman berterusan lanjutan. Ia membolehkan penyerang mensimulasikan serangan siber dunia sebenar, memberikan mereka keupayaan untuk mengawal dan mengeksploitasi mesin yang terjejas secara rahsia.
  • Asset Reconnaissance Lighthouse (ARL) : Alat peninjauan yang membantu penyerang memetakan aset rangkaian, mengenal pasti kelemahan dan mendapatkan cerapan tentang sasaran yang berpotensi dalam rangkaian, membantu dalam serangan yang lebih berkesan dan berfokus.
  • Pocassist : Alat yang direka untuk membantu dalam penciptaan dan eksploitasi eksploitasi bukti konsep (PoC), membantu penyerang mengautomasikan proses menguji kelemahan dan melaksanakan eksploitasi yang disasarkan.
  • GOSINT : Alat yang digunakan untuk pengumpulan perisikan sumber terbuka (OSINT), yang membantu penyerang mengumpul maklumat yang tersedia secara umum untuk membantu dalam peninjauan, seperti data pekerja, butiran rangkaian atau maklumat sensitif lain yang boleh dimanfaatkan dalam serangan.
  • GO Simple Tunnel : Alat terowong mudah yang digunakan oleh penyerang untuk memintas tembok api dan langkah keselamatan rangkaian lain, mencipta terowong yang disulitkan yang boleh digunakan untuk mengalihkan trafik tanpa dikesan atau mengakses sistem terhad.
  • GO Terowong Mudah

Kit alat canggih ini, ditambah pula dengan penggunaan infrastruktur China, menunjukkan dengan kuat pelaku ancaman yang beroperasi dari China.

Kekal Mendahului: Strategi Pertahanan terhadap Eksploitasi Berterusan

Walaupun tampung keselamatan telah dikeluarkan, aktiviti merosakkan berterusan dalam landskap pasca tampalan, menunjukkan bahawa cengkerang web yang digunakan sebelum ini digunakan semula dan diperluaskan oleh spektrum penipu yang luas, daripada oportunis kepada musuh yang berkemahiran tinggi. Dalam persekitaran ancaman yang semakin berkembang ini, organisasi mesti melaksanakan langkah-langkah pemulihan yang komprehensif, yang termasuk penggunaan segera kemas kini SAP rasmi, sekatan berhati-hati terhadap akses kepada titik akhir yang terdedah, dan penyahaktifan perkhidmatan yang tidak penting seperti Komposer Visual.

Selain itu, mengekalkan kewaspadaan yang lebih tinggi melalui pemantauan sistem dan log yang berterusan untuk tingkah laku anomali tetap penting. Usaha pertahanan ini adalah penting untuk mengekang potensi untuk terus berkompromi dan menjaga integriti operasi infrastruktur SAP.

Trending

Paling banyak dilihat

Memuatkan...