Popust za več licenc
Podjetje o grožnjah Ranljivost Ranljivost CVE-2025-31324

Ranljivost CVE-2025-31324

Do leta Mezo leta Ranljivost
Prevedi v:

Varnostni raziskovalci so povezali akterja grožnje Chaya_004, povezanega s Kitajsko, z izkoriščanjem kritične ranljivosti SAP NetWeaver, identificirane kot CVE-2025-31324. Ta napaka, ki ima najvišjo oceno CVSS 10,0, napadalcem omogoča oddaljeno izvajanje kode (RCE) z nalaganjem grozečih spletnih lupin prek ranljive končne točke /developmentserver/metadatauploader.

Ta ranljivost je prvič pritegnila pozornost konec aprila 2025, ko so ekipe za informacijsko varnost odkrile, da se aktivno izkorišča. Napadalci so jo uporabljali za namestitev spletnih lupin in orodij za naknadno izkoriščanje, kot je Brute Ratel C4.

Posledice: Industrije na mizi

Od marca 2025 se ta ranljivost pogosto zlorablja v različnih panogah in geografskih območjih. Domneva se, da se je začetna izkoriščanje zgodilo že 12. marca, potrjeni uspešni vdori pa so se zgodili med 14. in 31. marcem.

Ogroženi sektorji vključujejo:

  • Energija in komunalne storitve
  • Proizvodnja
  • Mediji in zabava
  • Nafta in plin
  • Farmacevtski izdelki
  • Trgovske in vladne organizacije

Ti razširjeni napadi kažejo na globalno kampanjo, ki bi lahko prizadela na stotine sistemov SAP.

Znotraj škodljive infrastrukture

Grožnjivec Chaya_004 je bil v ospredju teh kampanj, saj je na IP-naslovu 47.97.42[.]177 gostil spletno obratno lupino z imenom SuperShell. Ta infrastruktura je razkrila tudi druge sumljive elemente:

  • Vrata 3232/HTTP, ki strežejo samopodpisano potrdilo, ki posnema Cloudflare
  • Več orodij in storitev v kitajskem jeziku, ki jih gostijo kitajski ponudniki storitev v oblaku

Orodja za zlonamerno programsko opremo, povezana s skupino, vključujejo:

  • NPS (strežnik omrežnih pravilnikov) : To orodje se pogosto uporablja za upravljanje pravilnikov omrežnega dostopa. Napadalci ga lahko izkoristijo za manipulacijo omrežnega prometa, kar lahko omogoči nepooblaščen dostop ali prekine komunikacijo.
  • SoftEther VPN : Vsestranska programska oprema VPN z odprto kodo, ki jo lahko napadalci zlorabijo za obhod omrežne varnosti in vzpostavitev šifriranih povezav z oddaljenimi sistemi, kar pomaga pri prikritem kraji podatkov ali lateralnem premikanju znotraj ogroženih omrežij.
  • Cobalt Strike : Splošno znano orodje za naknadno izkoriščanje, ki se uporablja za napredne trdovratne grožnje. Napadalcem omogoča simulacijo kibernetskih napadov v resničnem svetu, kar jim daje možnost prikritega nadzora in izkoriščanja ogroženih strojev.
  • Izvidniško orodje Asset Reconnaissance Lighthouse (ARL) : Izvidniško orodje, ki napadalcem pomaga pri kartiranju omrežnih sredstev, prepoznavanju ranljivosti in pridobivanju vpogleda v potencialne tarče znotraj omrežja, kar pripomore k učinkovitejšim in osredotočenejšim napadom.
  • Pocassist : Orodje, zasnovano za pomoč pri ustvarjanju in izkoriščanju ranljivosti tipa Proof-of-Concept (PoC), ki napadalcem pomaga avtomatizirati postopek testiranja ranljivosti in izvajanja ciljnih ranljivosti.
  • GOSINT : Orodje, ki se uporablja za zbiranje obveščevalnih podatkov odprtega koda (OSINT), ki napadalcem pomaga zbirati javno dostopne informacije za pomoč pri izvidovanju, kot so podatki o zaposlenih, podrobnosti o omrežju ali druge občutljive informacije, ki jih je mogoče izkoristiti v napadih.
  • GO Simple Tunnel : Preprosto orodje za tuneliranje, ki ga napadalci uporabljajo za obhod požarnih zidov in drugih omrežnih varnostnih ukrepov, s čimer ustvarjajo šifrirane tunele, ki jih je mogoče uporabiti za neopaženo premikanje prometa ali dostop do omejenih sistemov.
  • Preprost predor GO

Ta dovršen nabor orodij, skupaj z uporabo kitajske infrastrukture, močno kaže na akterja grožnje, ki deluje iz Kitajske.

Ostati korak naprej: obrambne strategije proti nenehnemu izkoriščanju

Čeprav so bili izdani varnostni popravki, škodljiva dejavnost v okolju po izdaji popravkov še vedno obstaja, kar kaže na to, da se prej nameščene spletne lupine prenameščajo in razširjajo s strani širokega spektra goljufov, od oportunistov do visoko usposobljenih nasprotnikov. V tem razvijajočem se okolju groženj morajo organizacije izvajati celovite sanacijske ukrepe, ki vključujejo takojšnjo uporabo uradnih posodobitev SAP, skrbno omejevanje dostopa do ranljivih končnih točk in deaktivacijo nebistvenih storitev, kot je Visual Composer.

Poleg tega je bistvenega pomena ohranjanje večje budnosti z nenehnim spremljanjem sistema in dnevnikov za odkrivanje nepravilnega vedenja. Ta obrambna prizadevanja so ključnega pomena za omejevanje možnosti nadaljnjih ogrožanj in zaščito operativne integritete SAP-jeve infrastrukture.

V trendu

Najbolj gledan

Nalaganje...