CVE-2025-31324 ਕਮਜ਼ੋਰੀ

ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਚੀਨ ਨਾਲ ਸਬੰਧਤ ਇੱਕ ਧਮਕੀ ਐਕਟਰ, ਜਿਸਨੂੰ Chaya_004 ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਨੂੰ CVE-2025-31324 ਵਜੋਂ ਪਛਾਣੀ ਗਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ SAP NetWeaver ਕਮਜ਼ੋਰੀ ਦੇ ਸ਼ੋਸ਼ਣ ਨਾਲ ਜੋੜਿਆ ਹੈ। 10.0 ਦੇ ਸਭ ਤੋਂ ਵੱਧ CVSS ਸਕੋਰ ਦੇ ਨਾਲ, ਇਹ ਨੁਕਸ ਹਮਲਾਵਰਾਂ ਨੂੰ ਕਮਜ਼ੋਰ /developmentserver/metadatauploader ਐਂਡਪੁਆਇੰਟ ਰਾਹੀਂ ਧਮਕੀ ਭਰੇ ਵੈੱਬ ਸ਼ੈੱਲਾਂ ਨੂੰ ਅਪਲੋਡ ਕਰਕੇ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ (RCE) ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।

ਇਸ ਕਮਜ਼ੋਰੀ ਨੇ ਪਹਿਲੀ ਵਾਰ ਅਪ੍ਰੈਲ 2025 ਦੇ ਅਖੀਰ ਵਿੱਚ ਧਿਆਨ ਖਿੱਚਿਆ, ਜਦੋਂ ਇਨਫੋਸੇਕ ਟੀਮਾਂ ਨੂੰ ਪਤਾ ਲੱਗਾ ਕਿ ਇਸਦਾ ਜੰਗਲੀ ਖੇਤਰਾਂ ਵਿੱਚ ਸਰਗਰਮੀ ਨਾਲ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ। ਹਮਲਾਵਰ ਇਸਦੀ ਵਰਤੋਂ ਵੈੱਬ ਸ਼ੈੱਲਾਂ ਅਤੇ ਬਰੂਟ ਰੈਟਲ C4 ਵਰਗੇ ਸ਼ੋਸ਼ਣ ਤੋਂ ਬਾਅਦ ਦੇ ਟੂਲਸ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਕਰ ਰਹੇ ਹਨ।

ਨਤੀਜਾ: ਕਰਾਸਹੇਅਰ ਵਿੱਚ ਉਦਯੋਗ

ਮਾਰਚ 2025 ਤੋਂ, ਇਸ ਕਮਜ਼ੋਰੀ ਦੀ ਵੱਖ-ਵੱਖ ਉਦਯੋਗਾਂ ਅਤੇ ਭੂਗੋਲਿਆਂ ਵਿੱਚ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਦੁਰਵਰਤੋਂ ਕੀਤੀ ਗਈ ਹੈ। ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਸ਼ੁਰੂਆਤੀ ਸ਼ੋਸ਼ਣ 12 ਮਾਰਚ ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਹੋਇਆ ਸੀ, ਜਿਸ ਵਿੱਚ 14 ਮਾਰਚ ਅਤੇ 31 ਮਾਰਚ ਦੇ ਵਿਚਕਾਰ ਪੁਸ਼ਟੀ ਕੀਤੀ ਗਈ ਸਫਲ ਘੁਸਪੈਠ ਹੋਈ ਸੀ।

ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਸੈਕਟਰਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਊਰਜਾ ਅਤੇ ਉਪਯੋਗਤਾਵਾਂ
• ਨਿਰਮਾਣ
• ਮੀਡੀਆ ਅਤੇ ਮਨੋਰੰਜਨ
• ਤੇਲ ਅਤੇ ਗੈਸ
• ਦਵਾਈਆਂ
• ਪ੍ਰਚੂਨ ਅਤੇ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ

ਇਹ ਵਿਆਪਕ ਹਮਲੇ ਇੱਕ ਵਿਸ਼ਵਵਿਆਪੀ ਮੁਹਿੰਮ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੇ ਹਨ, ਜੋ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਸੈਂਕੜੇ SAP ਸਿਸਟਮਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰ ਰਿਹਾ ਹੈ।

ਨੁਕਸਾਨਦੇਹ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਅੰਦਰ

ਧਮਕੀ ਅਦਾਕਾਰ ਛਾਇਆ_004 ਇਹਨਾਂ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਸਭ ਤੋਂ ਅੱਗੇ ਰਿਹਾ ਹੈ, ਜਿਸਨੇ IP ਐਡਰੈੱਸ 47.97.42[.]177 'ਤੇ ਸੁਪਰਸ਼ੈਲ ਨਾਮਕ ਇੱਕ ਵੈੱਬ-ਅਧਾਰਿਤ ਰਿਵਰਸ ਸ਼ੈੱਲ ਦੀ ਮੇਜ਼ਬਾਨੀ ਕੀਤੀ ਹੈ। ਇਸ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੇ ਹੋਰ ਸ਼ੱਕੀ ਤੱਤਾਂ ਦਾ ਵੀ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ:

• ਪੋਰਟ 3232/HTTP, ਕਲਾਉਡਫਲੇਅਰ ਦੀ ਨਕਲ ਕਰਦੇ ਹੋਏ ਇੱਕ ਸਵੈ-ਦਸਤਖਤ ਸਰਟੀਫਿਕੇਟ ਦੀ ਸੇਵਾ ਕਰਦਾ ਹੈ
• ਚੀਨੀ ਕਲਾਉਡ ਪ੍ਰਦਾਤਾਵਾਂ ਦੁਆਰਾ ਹੋਸਟ ਕੀਤੇ ਗਏ ਕਈ ਚੀਨੀ-ਭਾਸ਼ਾ ਦੇ ਔਜ਼ਾਰ ਅਤੇ ਸੇਵਾਵਾਂ

ਸਮੂਹ ਨਾਲ ਜੁੜੇ ਮਾਲਵੇਅਰ ਟੂਲਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• NPS (ਨੈੱਟਵਰਕ ਪਾਲਿਸੀ ਸਰਵਰ) : ਇਹ ਟੂਲ ਅਕਸਰ ਨੈੱਟਵਰਕ ਪਹੁੰਚ ਨੀਤੀਆਂ ਦੇ ਪ੍ਰਬੰਧਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਹਮਲਾਵਰ ਇਸਦਾ ਫਾਇਦਾ ਉਠਾ ਕੇ ਨੈੱਟਵਰਕ ਟ੍ਰੈਫਿਕ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰ ਸਕਦੇ ਹਨ, ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਨੂੰ ਸਮਰੱਥ ਬਣਾ ਸਕਦੇ ਹਨ ਜਾਂ ਸੰਚਾਰ ਵਿੱਚ ਵਿਘਨ ਪਾ ਸਕਦੇ ਹਨ।

ਇਹ ਅਤਿ-ਆਧੁਨਿਕ ਟੂਲਕਿੱਟ, ਚੀਨੀ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਵਰਤੋਂ ਦੇ ਨਾਲ, ਚੀਨ ਤੋਂ ਕੰਮ ਕਰ ਰਹੇ ਇੱਕ ਖ਼ਤਰੇ ਵਾਲੇ ਐਕਟਰ ਨੂੰ ਜ਼ੋਰਦਾਰ ਢੰਗ ਨਾਲ ਦਰਸਾਉਂਦੀ ਹੈ।

ਅੱਗੇ ਰਹਿਣਾ: ਚੱਲ ਰਹੇ ਸ਼ੋਸ਼ਣ ਵਿਰੁੱਧ ਰੱਖਿਆ ਰਣਨੀਤੀਆਂ

ਹਾਲਾਂਕਿ ਸੁਰੱਖਿਆ ਪੈਚ ਜਾਰੀ ਕੀਤੇ ਗਏ ਹਨ, ਪਰ ਪੈਚ ਤੋਂ ਬਾਅਦ ਦੇ ਲੈਂਡਸਕੇਪ ਵਿੱਚ ਨੁਕਸਾਨਦੇਹ ਗਤੀਵਿਧੀ ਜਾਰੀ ਹੈ, ਜੋ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਪਹਿਲਾਂ ਤੈਨਾਤ ਵੈੱਬ ਸ਼ੈੱਲਾਂ ਨੂੰ ਮੌਕਾਪ੍ਰਸਤਾਂ ਤੋਂ ਲੈ ਕੇ ਬਹੁਤ ਹੁਨਰਮੰਦ ਵਿਰੋਧੀਆਂ ਤੱਕ, ਧੋਖੇਬਾਜ਼ਾਂ ਦੇ ਇੱਕ ਵਿਸ਼ਾਲ ਸਪੈਕਟ੍ਰਮ ਦੁਆਰਾ ਦੁਬਾਰਾ ਵਰਤਿਆ ਅਤੇ ਵਧਾਇਆ ਜਾ ਰਿਹਾ ਹੈ। ਇਸ ਵਿਕਸਤ ਹੋ ਰਹੇ ਖਤਰੇ ਵਾਲੇ ਵਾਤਾਵਰਣ ਵਿੱਚ, ਸੰਗਠਨਾਂ ਨੂੰ ਵਿਆਪਕ ਉਪਾਅ ਉਪਾਅ ਲਾਗੂ ਕਰਨੇ ਚਾਹੀਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਅਧਿਕਾਰਤ SAP ਅਪਡੇਟਾਂ ਦੀ ਤੁਰੰਤ ਵਰਤੋਂ, ਕਮਜ਼ੋਰ ਅੰਤਮ ਬਿੰਦੂਆਂ ਤੱਕ ਪਹੁੰਚ ਦੀ ਸਾਵਧਾਨੀ ਨਾਲ ਪਾਬੰਦੀ, ਅਤੇ ਵਿਜ਼ੂਅਲ ਕੰਪੋਜ਼ਰ ਵਰਗੀਆਂ ਗੈਰ-ਜ਼ਰੂਰੀ ਸੇਵਾਵਾਂ ਨੂੰ ਅਕਿਰਿਆਸ਼ੀਲ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਅਸਧਾਰਨ ਵਿਵਹਾਰ ਲਈ ਨਿਰੰਤਰ ਸਿਸਟਮ ਅਤੇ ਲੌਗ ਨਿਗਰਾਨੀ ਦੁਆਰਾ ਉੱਚ ਚੌਕਸੀ ਬਣਾਈ ਰੱਖਣਾ ਜ਼ਰੂਰੀ ਹੈ। ਇਹ ਰੱਖਿਆਤਮਕ ਯਤਨ ਹੋਰ ਸਮਝੌਤਾ ਕਰਨ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਰੋਕਣ ਅਤੇ SAP ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਸੰਚਾਲਨ ਅਖੰਡਤਾ ਦੀ ਰੱਖਿਆ ਲਈ ਬਹੁਤ ਜ਼ਰੂਰੀ ਹਨ।