Multilicenčná zľavová ponuka
Databáza hrozieb Zraniteľnosť Zraniteľnosť CVE-2025-31324

Zraniteľnosť CVE-2025-31324

Do roku Mezo v roku Zraniteľnosť
Preložiť do:

Bezpečnostní výskumníci spojili čínskeho aktéra s označením Chaya_004 so zneužitím kritickej zraniteľnosti SAP NetWeaver identifikovanej ako CVE-2025-31324. Táto chyba, ktorá má najvyššie skóre CVSS 10,0, umožňuje útočníkom dosiahnuť vzdialené spustenie kódu (RCE) nahrávaním nebezpečných webových shellov prostredníctvom zraniteľného koncového bodu /developmentserver/metadatauploader.

Táto zraniteľnosť prvýkrát upútala pozornosť koncom apríla 2025, keď tímy informačnej bezpečnosti zistili, že je aktívne zneužívaná. Útočníci ju používajú na nasadenie webových shellov a nástrojov na po-exploitáciu, ako je Brute Ratel C4.

The Fallout: Priemyselné odvetvia v hľadáčiku

Od marca 2025 sa táto zraniteľnosť vo veľkej miere zneužíva v rôznych odvetviach a geografických oblastiach. Predpokladá sa, že k prvému zneužitiu došlo už 12. marca, pričom potvrdené úspešné útoky sa uskutočnili medzi 14. a 31. marcom.

Medzi ohrozené sektory patria:

  • Energia a verejné služby
  • Výroba
  • Médiá a zábava
  • Ropa a plyn
  • Liečivá
  • Maloobchodné a vládne organizácie

Tieto rozsiahle útoky poukazujú na globálnu kampaň, ktorá potenciálne postihuje stovky systémov SAP.

Vnútri škodlivej infraštruktúry

Hroziaci aktér Chaya_004 bol v popredí týchto kampaní a hostil webový reverzný shell s názvom SuperShell na IP adrese 47.97.42[.]177. Táto infraštruktúra odhalila aj ďalšie podozrivé prvky:

  • Port 3232/HTTP, ktorý poskytuje certifikát s vlastným podpisom napodobňujúci Cloudflare
  • Viaceré nástroje a služby v čínskom jazyku hostované prostredníctvom čínskych poskytovateľov cloudových služieb

Medzi nástroje škodlivého softvéru spojené so skupinou patria:

  • NPS (Network Policy Server) : Tento nástroj sa často používa na správu politík prístupu k sieti. Útočníci ho môžu zneužiť na manipuláciu so sieťovou prevádzkou, čo môže potenciálne umožniť neoprávnený prístup alebo narušiť komunikáciu.
  • SoftEther VPN : Všestranný VPN softvér s otvoreným zdrojovým kódom, ktorý môžu útočníci zneužiť na obídenie sieťového zabezpečenia a nadviazanie šifrovaných pripojení k vzdialeným systémom, čo pomáha pri nenápadnom úniku údajov alebo laterálnom pohybe v rámci napadnutých sietí.
  • Cobalt Strike : Všeobecne známy nástroj po zneužití používaný pre pokročilé pretrvávajúce hrozby. Umožňuje útočníkom simulovať kybernetické útoky v reálnom svete, čo im dáva možnosť tajne ovládať a zneužívať napadnuté počítače.
  • Asset Reconnaissance Lighthouse (ARL) : Prieskumný nástroj, ktorý pomáha útočníkom mapovať sieťové aktíva, identifikovať zraniteľnosti a získať prehľad o potenciálnych cieľoch v sieti, čo pomáha pri efektívnejších a cielenejších útokoch.
  • Pocassist : Nástroj určený na pomoc pri vytváraní a zneužívaní zraniteľností typu proof-of-concept (PoC), ktorý útočníkom pomáha automatizovať proces testovania zraniteľností a vykonávania cielených zraniteľností.
  • GOSINT : Nástroj používaný na zhromažďovanie informácií z otvorených zdrojov (OSINT), ktorý pomáha útočníkom zhromažďovať verejne dostupné informácie na podporu prieskumu, ako sú údaje o zamestnancoch, podrobnosti o sieti alebo iné citlivé informácie, ktoré možno využiť pri útokoch.
  • GO Simple Tunnel : Jednoduchý tunelovací nástroj, ktorý útočníci používajú na obídenie firewallov a iných sieťových bezpečnostných opatrení, čím vytvárajú šifrované tunely, ktoré možno použiť na nepozorovaný presun prevádzky alebo prístup k obmedzeným systémom.
  • Jednoduchý tunel GO

Táto sofistikovaná sada nástrojov v spojení s využitím čínskej infraštruktúry silne naznačuje, že hrozba pôsobí z Číny.

Udržať si náskok: Obranné stratégie proti prebiehajúcemu vykorisťovaniu

Hoci boli vydané bezpečnostné záplaty, škodlivá aktivita pretrváva aj po ich zavedení, čo naznačuje, že predtým nasadené webové prostredia sú prehodnocované a rozširované širokým spektrom podvodníkov, od oportunistov až po vysoko kvalifikovaných protivníkov. V tomto vyvíjajúcom sa prostredí hrozieb musia organizácie implementovať komplexné nápravné opatrenia, ktoré zahŕňajú rýchlu aplikáciu oficiálnych aktualizácií SAP, starostlivé obmedzenie prístupu k zraniteľným koncovým bodom a deaktiváciu nepodstatných služieb, ako je Visual Composer.

Okrem toho je naďalej nevyhnutné udržiavať zvýšenú ostražitosť prostredníctvom nepretržitého monitorovania systému a protokolov, aby sa zistilo anomálne správanie. Tieto obranné opatrenia sú nevyhnutné na obmedzenie potenciálu ďalšieho ohrozenia a ochranu prevádzkovej integrity infraštruktúr SAP.

Trendy

Najviac videné

Načítava...