Luka w zabezpieczeniach CVE-2025-31324

Badacze ds. bezpieczeństwa powiązali chińskiego aktora zagrożeń o nazwie Chaya_004 z wykorzystaniem krytycznej luki w zabezpieczeniach SAP NetWeaver zidentyfikowanej jako CVE-2025-31324. Ta luka, mająca najwyższy wynik CVSS wynoszący 10,0, umożliwia atakującym zdalne wykonanie kodu (RCE) poprzez przesyłanie niebezpiecznych powłok internetowych za pośrednictwem podatnego punktu końcowego /developmentserver/metadatauploader.

Ta luka w zabezpieczeniach po raz pierwszy zwróciła uwagę pod koniec kwietnia 2025 r., kiedy zespoły ds. bezpieczeństwa informacji odkryły, że jest ona aktywnie wykorzystywana w środowisku naturalnym. Atakujący używają jej do wdrażania powłok internetowych i narzędzi poeksploatacyjnych, takich jak Brute Ratel C4.

Fallout: Branże na celowniku

Od marca 2025 r. ta podatność była szeroko wykorzystywana w różnych branżach i regionach geograficznych. Uważa się, że pierwsze wykorzystanie nastąpiło już 12 marca, a potwierdzone udane włamania miały miejsce między 14 a 31 marca.

Zagrożone sektory obejmują:

• Energia i media
• Produkcja
• Media i rozrywka
• Ropa i gaz
• Produkty farmaceutyczne
• Organizacje zajmujące się handlem detalicznym i rządem

Te szeroko zakrojone ataki wskazują na globalny charakter kampanii, która potencjalnie może dotknąć setki systemów SAP.

Wewnątrz szkodliwej infrastruktury

Aktor zagrożeń Chaya_004 stoi na czele tych kampanii, hostując internetową odwrotną powłokę o nazwie SuperShell na adresie IP 47.97.42[.]177. Ta infrastruktura ujawniła również inne podejrzane elementy:

• Port 3232/HTTP obsługujący certyfikat podpisany przez samego użytkownika, imitujący Cloudflare
• Wiele narzędzi i usług w języku chińskim hostowanych za pośrednictwem chińskich dostawców chmury

Narzędzia złośliwego oprogramowania związane z tą grupą obejmują:

• NPS (Network Policy Server) : To narzędzie jest często używane do zarządzania zasadami dostępu do sieci. Atakujący mogą je wykorzystać do manipulowania ruchem sieciowym, potencjalnie umożliwiając nieautoryzowany dostęp lub zakłócając komunikację.
• SoftEther VPN : Wszechstronne oprogramowanie VPN typu open source, które może zostać wykorzystane przez atakujących w celu ominięcia zabezpieczeń sieciowych i nawiązania szyfrowanych połączeń ze zdalnymi systemami, co umożliwia dyskretną eksfiltrację danych lub boczne przemieszczanie się w obrębie naruszonych sieci.

• Cobalt Strike : powszechnie znane narzędzie post-exploitation używane do zaawansowanych uporczywych zagrożeń. Umożliwia atakującym symulowanie rzeczywistych cyberataków, dając im możliwość kontrolowania i wykorzystywania zainfekowanych maszyn w sposób ukryty.

• Asset Reconnaissance Lighthouse (ARL) : Narzędzie rozpoznawcze, które pomaga atakującym mapować zasoby sieciowe, identyfikować luki w zabezpieczeniach i uzyskiwać informacje o potencjalnych celach w sieci, co pomaga w przeprowadzaniu skuteczniejszych i bardziej ukierunkowanych ataków.

• Pocassist : Narzędzie zaprojektowane z myślą o wspomaganiu tworzenia i wykorzystywania luk w zabezpieczeniach typu proof-of-concept (PoC), pomagające atakującym zautomatyzować proces testowania luk i wykonywania ukierunkowanych ataków.

• GOSINT : Narzędzie służące do gromadzenia informacji wywiadowczych ze źródeł otwartych (OSINT), które pomaga atakującym gromadzić publicznie dostępne informacje, np. dane pracowników, szczegóły sieci lub inne poufne informacje, które mogą zostać wykorzystane w atakach, aby ułatwić rozpoznanie.

• GO Simple Tunnel : Proste narzędzie do tunelowania używane przez atakujących do omijania zapór sieciowych i innych zabezpieczeń sieci. Narzędzie to tworzy szyfrowane tunele, które mogą być używane do przesyłania ruchu bez wykrycia lub uzyskiwania dostępu do systemów o ograniczonym dostępie.

• GO Prosty tunel

Ten zaawansowany zestaw narzędzi, w połączeniu z wykorzystaniem chińskiej infrastruktury, wyraźnie wskazuje na to, że podmiot stanowiący zagrożenie działa z terytorium Chin.

Pozostawanie na czele: strategie obronne przed ciągłą eksploatacją

Chociaż wydano poprawki zabezpieczeń, szkodliwe działania nadal występują w krajobrazie po wprowadzeniu poprawek, co wskazuje, że wcześniej wdrożone powłoki internetowe są ponownie wykorzystywane i rozszerzane przez szerokie spektrum oszustów, od oportunistów po wysoce wykwalifikowanych przeciwników. W tym zmieniającym się środowisku zagrożeń organizacje muszą wdrożyć kompleksowe środki zaradcze, które obejmują szybkie stosowanie oficjalnych aktualizacji SAP, ostrożne ograniczanie dostępu do podatnych punktów końcowych i dezaktywację nieistotnych usług, takich jak Visual Composer.

Ponadto utrzymanie podwyższonej czujności poprzez ciągłe monitorowanie systemu i dziennika w celu wykrycia anomalii zachowania pozostaje niezbędne. Te działania obronne są niezbędne do ograniczenia możliwości dalszego naruszenia i ochrony integralności operacyjnej infrastruktur SAP.