Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Kwetsbaarheid CVE-2025-31324 kwetsbaarheid

CVE-2025-31324 kwetsbaarheid

Tegen Mezo in Kwetsbaarheid
Vertalen naar:

Beveiligingsonderzoekers hebben een aan China gelieerde dreigingsactor, Chaya_004 genaamd, in verband gebracht met de exploitatie van een kritieke SAP NetWeaver-kwetsbaarheid, geïdentificeerd als CVE-2025-31324. Met de hoogste CVSS-score van 10,0 stelt deze kwetsbaarheid aanvallers in staat om code op afstand uit te voeren (RCE) door bedreigende webshells te uploaden via het kwetsbare eindpunt /developmentserver/metadatauploader.

Deze kwetsbaarheid trok voor het eerst aandacht eind april 2025, toen infosec-teams ontdekten dat er actief misbruik van werd gemaakt. Aanvallers gebruikten de kwetsbaarheid om webshells en tools voor post-exploitatie te implementeren, zoals Brute Ratel C4.

De gevolgen: industrieën in het vizier

Sinds maart 2025 wordt deze kwetsbaarheid op grote schaal misbruikt in diverse sectoren en regio's. De eerste exploitatie zou al op 12 maart hebben plaatsgevonden, met bevestigde succesvolle inbraken tussen 14 en 31 maart.

De aangetaste sectoren omvatten:

  • Energie en nutsbedrijven
  • Productie
  • Media en entertainment
  • Olie en gas
  • Farmaceutische producten
  • Detailhandel en overheidsorganisaties

Deze wijdverspreide aanvallen wijzen op een wereldwijde campagne die mogelijk honderden SAP-systemen treft.

Binnen de schadelijke infrastructuur

De dreigingsactor Chaya_004 stond aan het hoofd van deze campagnes en hostte een webgebaseerde reverse shell genaamd SuperShell op IP-adres 47.97.42[.]177. Deze infrastructuur onthulde ook andere verdachte elementen:

  • Poort 3232/HTTP, die een zelfondertekend certificaat bedient dat Cloudflare nabootst
  • Meerdere Chinese tools en services gehost via Chinese cloudproviders

Tot de malware-tools die aan de groep zijn gekoppeld, behoren:

  • NPS (Network Policy Server) : Deze tool wordt vaak gebruikt om netwerktoegangsbeleid te beheren. Aanvallers kunnen deze tool misbruiken om netwerkverkeer te manipuleren, wat mogelijk ongeautoriseerde toegang mogelijk maakt of de communicatie verstoort.
  • SoftEther VPN : veelzijdige, open-source VPN-software die door aanvallers kan worden misbruikt om de netwerkbeveiliging te omzeilen en gecodeerde verbindingen met externe systemen tot stand te brengen, wat helpt bij stiekeme data-exfiltratie of laterale verplaatsing binnen gecompromitteerde netwerken.
  • Cobalt Strike : een veelgebruikte tool voor post-exploitatie, gebruikt voor geavanceerde, persistente bedreigingen. Hiermee kunnen aanvallers echte cyberaanvallen simuleren, waardoor ze gecompromitteerde machines heimelijk kunnen besturen en exploiteren.
  • Asset Reconnaissance Lighthouse (ARL) : een verkenningstool waarmee aanvallers netwerkactiva in kaart kunnen brengen, kwetsbaarheden kunnen identificeren en inzicht kunnen krijgen in potentiële doelen binnen een netwerk. Dit helpt bij effectievere en gerichte aanvallen.
  • Pocassist : een tool die is ontworpen om te helpen bij het maken en exploiteren van proof-of-concept (PoC) exploits, waarmee aanvallers het proces van het testen van kwetsbaarheden en het uitvoeren van gerichte exploits kunnen automatiseren.
  • GOSINT : Een hulpmiddel voor het verzamelen van open-source inlichtingen (OSINT), waarmee aanvallers openbaar beschikbare informatie kunnen verzamelen ter ondersteuning van verkenningen, zoals werknemersgegevens, netwerkdetails en andere gevoelige informatie die bij aanvallen kan worden gebruikt.
  • GO Simple Tunnel : Een eenvoudige tunnelingtool die aanvallers gebruiken om firewalls en andere netwerkbeveiligingsmaatregelen te omzeilen. Hiermee worden gecodeerde tunnels gemaakt waarmee verkeer onopgemerkt kan worden verplaatst of toegang kan worden verkregen tot beperkte systemen.
  • GO Eenvoudige Tunnel

Deze geavanceerde toolkit, gecombineerd met het gebruik van Chinese infrastructuur, wijst er sterk op dat er sprake is van een dreigingsactor die vanuit China opereert.

Voorop blijven lopen: verdedigingsstrategieën tegen voortdurende uitbuiting

Hoewel er beveiligingspatches zijn uitgebracht, is er na de patch nog steeds sprake van schadelijke activiteiten. Dit wijst erop dat eerder geïmplementeerde webshells worden hergebruikt en uitgebreid door een breed scala aan fraudeurs, van opportunisten tot zeer bekwame kwaadwillenden. In deze veranderende dreigingsomgeving moeten organisaties uitgebreide herstelmaatregelen implementeren, waaronder de snelle toepassing van officiële SAP-updates, het zorgvuldig beperken van de toegang tot kwetsbare endpoints en het deactiveren van niet-essentiële services zoals Visual Composer.

Bovendien blijft verhoogde waakzaamheid door continue systeem- en logmonitoring op afwijkend gedrag essentieel. Deze defensieve maatregelen zijn essentieel om de kans op verdere inbreuken te beperken en de operationele integriteit van SAP-infrastructuren te waarborgen.

Trending

Meest bekeken

Bezig met laden...