CVE-2025-31324 जोखिम
सुरक्षा अनुसन्धानकर्ताहरूले CVE-2025-31324 को रूपमा पहिचान गरिएको महत्वपूर्ण SAP NetWeaver जोखिमको शोषणसँग Chaya_004 नामक चीन-सम्बद्ध खतरा अभिनेतालाई जोडेका छन्। १०.० को उच्चतम CVSS स्कोर बोकेको, यो त्रुटिले आक्रमणकारीहरूलाई कमजोर /developmentserver/metadatauploader अन्त्य बिन्दु मार्फत खतरापूर्ण वेब शेलहरू अपलोड गरेर रिमोट कोड कार्यान्वयन (RCE) प्राप्त गर्न अनुमति दिन्छ।
यो जोखिम पहिलो पटक अप्रिल २०२५ को अन्त्यतिर ध्यान आकर्षित भयो, जब इन्फोसेक टोलीहरूले यसलाई जंगलमा सक्रिय रूपमा शोषण भइरहेको पत्ता लगाए। आक्रमणकारीहरूले यसलाई वेब शेलहरू र ब्रुट रेटेल C4 जस्ता शोषण पछिका उपकरणहरू तैनाथ गर्न प्रयोग गर्दै आएका छन्।
सामग्रीको तालिका
नतिजा: क्रसहेयरमा उद्योगहरू
मार्च २०२५ देखि, यो जोखिम विभिन्न उद्योग र भौगोलिक क्षेत्रहरूमा व्यापक रूपमा दुरुपयोग गरिएको छ। प्रारम्भिक शोषण मार्च १२ मा भएको मानिन्छ, मार्च १४ र मार्च ३१ को बीचमा सफल घुसपैठ भएको पुष्टि भएको छ।
सम्झौता गरिएका क्षेत्रहरू समावेश छन्:
- ऊर्जा र उपयोगिताहरू
- निर्माण
- मिडिया र मनोरञ्जन
- तेल र ग्याँस
- औषधिहरू
- खुद्रा र सरकारी संस्थाहरू
यी व्यापक आक्रमणहरूले विश्वव्यापी अभियानलाई औंल्याउँछन्, जसले सम्भावित रूपमा सयौं SAP प्रणालीहरूलाई असर गर्छ।
हानिकारक पूर्वाधार भित्र
धम्की अभिनेता छाया_००४ यी अभियानहरूको अग्रपंक्तिमा रहेको छ, जसले IP ठेगाना ४७.९७.४२[.]१७७ मा सुपरशेल नामक वेब-आधारित रिभर्स शेल होस्ट गर्दैछ। यो पूर्वाधारले अन्य शंकास्पद तत्वहरू पनि प्रकट गर्यो:
- पोर्ट ३२३२/HTTP, क्लाउडफ्लेयरको नक्कल गर्ने स्व-हस्ताक्षरित प्रमाणपत्र प्रदान गर्दै
- चिनियाँ क्लाउड प्रदायकहरू मार्फत होस्ट गरिएका धेरै चिनियाँ भाषाका उपकरणहरू र सेवाहरू
समूहसँग सम्बन्धित मालवेयर उपकरणहरूमा समावेश छन्:
- NPS (नेटवर्क नीति सर्भर) : यो उपकरण प्रायः नेटवर्क पहुँच नीतिहरू व्यवस्थापन गर्न प्रयोग गरिन्छ। आक्रमणकारीहरूले यसलाई नेटवर्क ट्राफिक हेरफेर गर्न, सम्भावित रूपमा अनधिकृत पहुँच सक्षम पार्न वा सञ्चारमा बाधा पुर्याउन प्रयोग गर्न सक्छन्।
यो परिष्कृत टुलकिट, चिनियाँ पूर्वाधारको प्रयोगसँग मिलेर, चीनबाट सञ्चालन भइरहेको खतरा अभिनेतालाई दृढतापूर्वक संकेत गर्दछ।
अगाडि बढ्नु: निरन्तर शोषण विरुद्ध रक्षा रणनीतिहरू
सुरक्षा प्याचहरू जारी गरिए पनि, पोस्ट-प्याच परिदृश्यमा हानिकारक गतिविधि जारी छ, जसले संकेत गर्दछ कि पहिले तैनाथ गरिएका वेब शेलहरू अवसरवादीहरूदेखि उच्च कुशल विरोधीहरूसम्म, ठगी गर्नेहरूको विस्तृत स्पेक्ट्रमद्वारा पुन: प्रयोग र विस्तार भइरहेको छ। यस विकसित खतरा वातावरणमा, संस्थाहरूले व्यापक उपचार उपायहरू लागू गर्नुपर्छ, जसमा आधिकारिक SAP अद्यावधिकहरूको तुरुन्त प्रयोग, कमजोर अन्त्य बिन्दुहरूमा पहुँचको सावधानीपूर्वक प्रतिबन्ध, र भिजुअल कम्पोजर जस्ता गैर-आवश्यक सेवाहरूको निष्क्रियकरण समावेश छ।
थप रूपमा, असामान्य व्यवहारको लागि निरन्तर प्रणाली र लग अनुगमन मार्फत उच्च सतर्कता कायम राख्नु आवश्यक छ। यी रक्षात्मक प्रयासहरू थप सम्झौताको सम्भावनालाई रोक्न र SAP पूर्वाधारहरूको सञ्चालन अखण्डतालाई सुरक्षित गर्न महत्त्वपूर्ण छन्।
