Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Cenueshmëria CVE-2025-31324 Cenueshmëri

CVE-2025-31324 Cenueshmëri

Nga MezoCenueshmëria
Përkthe në:

Studiuesit e sigurisë kanë lidhur një aktor kërcënimi të lidhur me Kinën, të quajtur Chaya_004, me shfrytëzimin e një dobësie kritike të SAP NetWeaver të identifikuar si CVE-2025-31324. Duke pasur rezultatin më të lartë CVSS prej 10.0, kjo e metë u lejon sulmuesve të arrijnë ekzekutimin e kodit në distancë (RCE) duke ngarkuar shell-e kërcënuese në internet nëpërmjet pikës fundore të ndjeshme /developmentserver/metadatauploader.

Kjo dobësi tërhoqi vëmendjen për herë të parë në fund të prillit 2025, kur ekipet e sigurisë së informacionit zbuluan se po shfrytëzohej në mënyrë aktive. Sulmuesit e kanë përdorur atë për të vendosur shell-e web dhe mjete pas-shfrytëzimit si Brute Ratel C4.

The Fallout: Industritë në shënjestër

Që nga marsi i vitit 2025, kjo dobësi është keqpërdorur gjerësisht në industri dhe zona të ndryshme gjeografike. Shfrytëzimi fillestar besohet të ketë ndodhur që më 12 mars, me ndërhyrje të konfirmuara të suksesshme që ndodhën midis 14 marsit dhe 31 marsit.

Sektorët e kompromentuar përfshijnë:

  • Energjia dhe shërbimet
  • Prodhim
  • Media dhe argëtim
  • Naftë dhe gaz
  • Farmaceutikë
  • Organizatat me pakicë dhe qeveritare

Këto sulme të përhapura tregojnë për një fushatë globale, që potencialisht mund të prekë qindra sisteme SAP.

Brenda infrastrukturës së dëmshme

Aktori kërcënues Chaya_004 ka qenë në ballë të këtyre fushatave, duke strehuar një reverse shell të bazuar në internet të quajtur SuperShell në adresën IP 47.97.42[.]177. Kjo infrastrukturë zbuloi gjithashtu elementë të tjerë të dyshimtë:

  • Porta 3232/HTTP, që shërben një certifikatë të vetë-nënshkruar që imiton Cloudflare
  • Mjete dhe shërbime të shumta në gjuhën kineze të ofruara nga ofruesit kinezë të cloud-it

Mjetet keqdashëse të lidhura me grupin përfshijnë:

  • NPS (Serveri i Politikave të Rrjetit) : Ky mjet përdoret shpesh për të menaxhuar politikat e aksesit në rrjet. Sulmuesit mund ta shfrytëzojnë atë për të manipuluar trafikun e rrjetit, duke mundësuar potencialisht akses të paautorizuar ose duke ndërprerë komunikimin.
  • SoftEther VPN : Një softuer VPN i gjithanshëm dhe me burim të hapur që mund të keqpërdoret nga sulmuesit për të anashkaluar sigurinë e rrjetit dhe për të krijuar lidhje të koduara me sisteme të largëta, duke ndihmuar në nxjerrjen e fshehtë të të dhënave ose lëvizjen anësore brenda rrjeteve të kompromentuara.
  • Cobalt Strike : Një mjet i njohur gjerësisht pas shfrytëzimit që përdoret për kërcënime të vazhdueshme të avancuara. Ai u lejon sulmuesve të simulojnë sulme kibernetike të botës reale, duke u dhënë atyre mundësinë për të kontrolluar dhe shfrytëzuar fshehurazi makinat e kompromentuara.
  • Fari i Zbulimit të Aseteve (ARL) : Një mjet zbulimi që i ndihmon sulmuesit të hartëzojnë asetet e rrjetit, të identifikojnë dobësitë dhe të fitojnë njohuri mbi objektivat e mundshëm brenda një rrjeti, duke ndihmuar në sulme më efektive dhe të fokusuara.
  • Pocassist : Një mjet i projektuar për të ndihmuar në krijimin dhe shfrytëzimin e shfrytëzimeve të provës së konceptit (PoC), duke i ndihmuar sulmuesit të automatizojnë procesin e testimit të dobësive dhe ekzekutimit të shfrytëzimeve të synuara.
  • GOSINT : Një mjet i përdorur për mbledhjen e inteligjencës me burim të hapur (OSINT), i cili i ndihmon sulmuesit të mbledhin informacione të disponueshme publikisht për të ndihmuar në zbulim, të tilla si të dhënat e punonjësve, detajet e rrjetit ose informacione të tjera të ndjeshme që mund të shfrytëzohen në sulme.
  • GO Simple Tunnel : Një mjet i thjeshtë tunelimi i përdorur nga sulmuesit për të anashkaluar muret e zjarrit dhe masat e tjera të sigurisë së rrjetit, duke krijuar tunele të enkriptuara që mund të përdoren për të lëvizur trafikun e pazbuluar ose për të aksesuar sisteme të kufizuara.
  • GO Simple Tunnel

Ky komplet mjetesh i sofistikuar, së bashku me përdorimin e infrastrukturës kineze, tregon fuqimisht një aktor kërcënimi që vepron nga Kina.

Të qëndrosh përpara: Strategjitë mbrojtëse kundër shfrytëzimit të vazhdueshëm

Edhe pse janë lëshuar përditësime sigurie, aktiviteti dëmtues vazhdon në peizazhin pas përditësimit, duke treguar se shell-et web të vendosura më parë po ripërdoren dhe zgjerohen nga një spektër i gjerë mashtruesish, nga oportunistët te kundërshtarët shumë të aftë. Në këtë mjedis kërcënimi në zhvillim e sipër, organizatat duhet të zbatojnë masa gjithëpërfshirëse korrigjimi, të cilat përfshijnë zbatimin e shpejtë të përditësimeve zyrtare të SAP, kufizimin e kujdesshëm të aksesit në pikat fundore të cenueshme dhe çaktivizimin e shërbimeve jo-thelbësore siç është Visual Composer.

Për më tepër, ruajtja e vigjilencës së shtuar përmes monitorimit të vazhdueshëm të sistemit dhe regjistrave për sjellje anormale mbetet thelbësore. Këto përpjekje mbrojtëse janë jetësore për të frenuar potencialin për kompromentim të mëtejshëm dhe për të mbrojtur integritetin operacional të infrastrukturave SAP.

Në trend

Më e shikuara

Po ngarkohet...