Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Vulnerabilitate Vulnerabilitate CVE-2025-31324

Vulnerabilitate CVE-2025-31324

Până în Mezo în Vulnerabilitate
Tradu in:

Cercetătorii în domeniul securității au asociat un actor amenințător afiliat Chinei, numit Chaya_004, cu exploatarea unei vulnerabilități critice SAP NetWeaver identificată drept CVE-2025-31324. Având cel mai mare scor CVSS de 10.0, această vulnerabilitate permite atacatorilor să realizeze execuția de cod la distanță (RCE) prin încărcarea de shell-uri web amenințătoare prin intermediul punctului final vulnerabil /developmentserver/metadatauploader.

Această vulnerabilitate a atras atenția pentru prima dată la sfârșitul lunii aprilie 2025, când echipele de securitate a informațiilor au descoperit că este exploatată activ în mediul virtual. Atacatorii au folosit-o pentru a implementa shell-uri web și instrumente post-exploatare, cum ar fi Brute Ratel C4.

Repercusiunile: Industriile în vizor

Din martie 2025, această vulnerabilitate a fost exploatată pe scară largă în diverse industrii și zone geografice. Se crede că exploatarea inițială a avut loc încă din 12 martie, intruziunile confirmate cu succes având loc între 14 și 31 martie.

Sectoarele compromise includ:

  • Energie și utilități
  • Fabricație
  • Media și divertismentul
  • Petrol și gaze
  • Produse farmaceutice
  • Organizații guvernamentale și de retail

Aceste atacuri pe scară largă indică o campanie globală, care ar putea afecta sute de sisteme SAP.

În interiorul infrastructurii dăunătoare

Actorul amenințător Chaya_004 a fost în fruntea acestor campanii, găzduind un sistem de shell invers bazat pe web numit SuperShell pe adresa IP 47.97.42[.]177. Această infrastructură a dezvăluit și alte elemente suspecte:

  • Port 3232/HTTP, care servește un certificat autosemnat care imită Cloudflare
  • Mai multe instrumente și servicii în limba chineză găzduite prin furnizori de cloud chinezi

Instrumentele malware asociate cu grupul includ:

  • NPS (Network Policy Server) : Acest instrument este adesea folosit pentru a gestiona politicile de acces la rețea. Atacatorii îl pot exploata pentru a manipula traficul de rețea, permițând accesul neautorizat sau perturbând comunicarea.
  • SoftEther VPN : Un software VPN versatil, open-source, care poate fi utilizat în mod abuziv de atacatori pentru a ocoli securitatea rețelei și a stabili conexiuni criptate la sisteme la distanță, facilitând exfiltrarea ascunsă a datelor sau mișcarea laterală în cadrul rețelelor compromise.
  • Cobalt Strike : Un instrument post-exploatare cunoscut pe scară largă, utilizat pentru amenințări persistente avansate. Acesta permite atacatorilor să simuleze atacuri cibernetice din lumea reală, oferindu-le posibilitatea de a controla și exploata în mod ascuns mașinile compromise.
  • Asset Reconnaissance Lighthouse (ARL) : Un instrument de recunoaștere care ajută atacatorii să cartografieze activele rețelei, să identifice vulnerabilitățile și să obțină informații despre potențialele ținte dintr-o rețea, contribuind la atacuri mai eficiente și mai concentrate.
  • Pocassist : Un instrument conceput pentru a ajuta la crearea și exploatarea exploit-urilor proof-of-concept (PoC), ajutând atacatorii să automatizeze procesul de testare a vulnerabilităților și de executare a exploit-urilor direcționate.
  • GOSINT : Un instrument utilizat pentru colectarea de informații open-source (OSINT), care ajută atacatorii să colecteze informații disponibile publicului pentru a ajuta la recunoaștere, cum ar fi date despre angajați, detalii despre rețea sau alte informații sensibile care pot fi valorificate în atacuri.
  • GO Simple Tunnel : Un instrument simplu de tunelare folosit de atacatori pentru a ocoli firewall-urile și alte măsuri de securitate a rețelei, creând tuneluri criptate care pot fi folosite pentru a muta traficul nedetectat sau pentru a accesa sisteme restricționate.
  • Tunel simplu GO

Acest set de instrumente sofisticat, coroborat cu utilizarea infrastructurii chineze, indică puternic un actor amenințător care operează din China.

Rămânând cu un pas înainte: Strategii de apărare împotriva exploatării continue

Deși au fost emise patch-uri de securitate, activitatea dăunătoare persistă în peisajul post-patch, indicând faptul că shell-urile web implementate anterior sunt reutilizate și extinse de o gamă largă de escroci, de la oportuniști la adversari extrem de pricepuți. În acest mediu de amenințări în continuă evoluție, organizațiile trebuie să implementeze măsuri complete de remediere, care includ aplicarea promptă a actualizărilor oficiale SAP, restricționarea atentă a accesului la endpoint-urile vulnerabile și dezactivarea serviciilor neesențiale, cum ar fi Visual Composer.

În plus, menținerea unei vigilențe sporite prin monitorizarea continuă a sistemului și a jurnalelor pentru comportamente anormale rămâne esențială. Aceste eforturi defensive sunt vitale pentru a reduce potențialul de compromitere suplimentară și pentru a proteja integritatea operațională a infrastructurilor SAP.

Trending

Cele mai văzute

Se încarcă...