Rabatttilbud for flere lisenser
Trusseldatabase Sårbarhet CVE-2025-31324-sårbarhet

CVE-2025-31324-sårbarhet

Med Mezo i Sårbarhet
Oversett til:

Sikkerhetsforskere har knyttet en Kina-tilknyttet trusselaktør, kalt Chaya_004, til utnyttelsen av et kritisk SAP NetWeaver-sårbarhet identifisert som CVE-2025-31324. Denne feilen, med den høyeste CVSS-poengsummen på 10,0, lar angripere utføre ekstern kode (RCE) ved å laste opp truende web-shells via det sårbare endepunktet /developmentserver/metadatauploader.

Denne sårbarheten fikk først oppmerksomhet sent i april 2025, da infosec-team oppdaget at den aktivt ble utnyttet i naturen. Angripere har brukt den til å distribuere webshells og verktøy for etterutnyttelse som Brute Ratel C4.

Fallout: Bransjer i søkelyset

Siden mars 2025 har denne sårbarheten blitt mye misbrukt på tvers av ulike bransjer og geografiske områder. Den første utnyttelsen antas å ha skjedd så tidlig som 12. mars, med bekreftede vellykkede inntrengninger som fant sted mellom 14. mars og 31. mars.

De kompromitterte sektorene inkluderer:

  • Energi og forsyningsselskaper
  • Produksjon
  • Media og underholdning
  • Olje og gass
  • Legemidler
  • Detaljhandel og offentlige organisasjoner

Disse utbredte angrepene peker mot en global kampanje, som potensielt påvirker hundrevis av SAP-systemer.

Inne i den skadelige infrastrukturen

Trusselaktøren Chaya_004 har vært i forkant av disse kampanjene, og drifter et nettbasert reverse shell kalt SuperShell på IP-adressen 47.97.42[.]177. Denne infrastrukturen avdekket også andre mistenkelige elementer:

  • Port 3232/HTTP, som serverer et selvsignert sertifikat som etterligner Cloudflare
  • Flere kinesiskspråklige verktøy og tjenester driftet av kinesiske skyleverandører

Skadevareverktøy knyttet til gruppen inkluderer:

  • NPS (Network Policy Server) : Dette verktøyet brukes ofte til å administrere retningslinjer for nettverkstilgang. Angripere kan utnytte det til å manipulere nettverkstrafikk, noe som potensielt muliggjør uautorisert tilgang eller forstyrrer kommunikasjonen.
  • SoftEther VPN : En allsidig VPN-programvare med åpen kildekode som kan misbrukes av angripere til å omgå nettverkssikkerhet og etablere krypterte forbindelser til eksterne systemer, noe som bidrar til skjult datautvinning eller sideveis bevegelse i kompromitterte nettverk.
  • Cobalt Strike : Et allment kjent verktøy etter utnyttelse som brukes til avanserte, vedvarende trusler. Det lar angripere simulere reelle cyberangrep, noe som gir dem muligheten til å kontrollere og utnytte kompromitterte maskiner i hemmelighet.
  • Asset Reconnaissance Lighthouse (ARL) : Et rekognoseringsverktøy som hjelper angripere med å kartlegge nettverksressurser, identifisere sårbarheter og få innsikt i potensielle mål i et nettverk, noe som bidrar til mer effektive og fokuserte angrep.
  • Pocassist : Et verktøy utviklet for å hjelpe til med å opprette og utnytte proof-of-concept (PoC)-utnyttelser, og hjelpe angripere med å automatisere prosessen med å teste sårbarheter og utføre målrettede utnyttelser.
  • GOSINT : Et verktøy som brukes til innsamling av åpen kildekode-etterretning (OSINT), som hjelper angripere med å samle offentlig tilgjengelig informasjon for å hjelpe til med rekognosering, for eksempel ansattdata, nettverksdetaljer eller annen sensitiv informasjon som kan utnyttes i angrep.
  • GO Simple Tunnel : Et enkelt tunneleringsverktøy som brukes av angripere til å omgå brannmurer og andre nettverkssikkerhetstiltak, og lage krypterte tunneler som kan brukes til å flytte trafikk uoppdaget eller få tilgang til begrensede systemer.
  • GO Simple Tunnel

Dette sofistikerte verktøysettet, kombinert med bruken av kinesisk infrastruktur, indikerer sterkt en trusselaktør som opererer fra Kina.

Å holde seg i forkant: Forsvarsstrategier mot pågående utnyttelse

Selv om sikkerhetsoppdateringer er utstedt, vedvarer skadelig aktivitet i etterkant av oppdateringen, noe som indikerer at tidligere distribuerte web-shells blir ombrukt og utvidet av et bredt spekter av svindlere, fra opportunister til svært dyktige motstandere. I dette utviklende trusselmiljøet må organisasjoner implementere omfattende utbedringstiltak, som inkluderer rask implementering av offisielle SAP-oppdateringer, nøye begrensning av tilgang til sårbare endepunkter og deaktivering av ikke-essensielle tjenester som Visual Composer.

I tillegg er det fortsatt viktig å opprettholde økt årvåkenhet gjennom kontinuerlig system- og loggovervåking for avvikende atferd. Disse defensive tiltakene er avgjørende for å begrense potensialet for ytterligere kompromittering og beskytte den operative integriteten til SAP-infrastrukturer.

Trender

Mest sett

Laster inn...