Попуст за више лиценци
Тхреат Датабасе Рањивост Рањивост CVE-2025-31324

Рањивост CVE-2025-31324

До Mezo. у Рањивост
Преведи на:

Истраживачи безбедности повезали су претњу повезану са Кином, названу Chaya_004, са експлоатацијом критичне рањивости SAP NetWeaver-а идентификоване као CVE-2025-31324. Са највишим CVSS резултатом од 10,0, ова мана омогућава нападачима да изврше даљинско извршавање кода (RCE) отпремањем претећих веб шкољки преко рањиве крајње тачке /developmentserver/metadatauploader.

Ова рањивост је први пут привукла пажњу крајем априла 2025. године, када су тимови за информатичку безбедност открили да се активно експлоатише. Нападачи су је користили за распоређивање веб шкољки и алата за пост-експлоатацију попут Brute Ratel C4.

Последице: Индустрије на нишану

Од марта 2025. године, ова рањивост је широко злоупотребљена у различитим индустријама и географским подручјима. Верује се да се почетна експлоатација догодила већ 12. марта, а потврђени успешни упади су се догодили између 14. и 31. марта.

Угрожени сектори укључују:

  • Енергија и комуналне услуге
  • Производња
  • Медији и забава
  • Нафта и гас
  • Фармацеутски производи
  • Малопродајне и владине организације

Ови широко распрострањени напади указују на глобалну кампању, која потенцијално утиче на стотине САП система.

Унутар штетне инфраструктуре

Претња, актер Chaya_004, био је на челу ових кампања, хостујући веб-базирану обрнуту шкољку под називом SuperShell на IP адреси 47.97.42[.]177. Ова инфраструктура је такође открила друге сумњиве елементе:

  • Порт 3232/HTTP, који служи самопотписаном сертификату који опонаша Cloudflare
  • Вишеструки алати и услуге на кинеском језику хостовани преко кинеских добављача услуга у облаку

Алати за злонамерни софтвер повезани са групом укључују:

  • NPS (Сервер мрежних смерница) : Овај алат се често користи за управљање политикама мрежног приступа. Нападачи га могу искористити за манипулацију мрежним саобраћајем, што потенцијално омогућава неовлашћени приступ или прекида комуникацију.
  • СофтЕтер ВПН : Свестрани ВПН софтвер отвореног кода који нападачи могу злоупотребити да би заобишли безбедност мреже и успоставили шифроване везе са удаљеним системима, помажући у прикривеном крађи података или бочном кретању унутар угрожених мрежа.
  • Кобалт Страјк : Широко познати алат након експлоатације који се користи за напредне упорне претње. Омогућава нападачима да симулирају сајбер нападе из стварног света, дајући им могућност да тајно контролишу и искоришћавају угрожене машине.
  • Светионик за извиђање средстава (ARL) : Алат за извиђање који помаже нападачима да мапирају мрежна средства, идентификују рањивости и стекну увид у потенцијалне мете унутар мреже, помажући у ефикаснијим и фокусиранијим нападима.
  • Pocassist : Алат дизајниран да помогне у креирању и искоришћавању експлоатација заснованих на доказивању концепта (PoC), помажући нападачима да аутоматизују процес тестирања рањивости и извршавања циљаних експлоатација.
  • GOSINT : Алат који се користи за прикупљање обавештајних података отвореног кода (OSINT), који помаже нападачима да прикупе јавно доступне информације како би помогли у извиђању, као што су подаци о запосленима, детаљи о мрежи или друге осетљиве информације које се могу искористити у нападима.
  • GO Simple Tunnel : Једноставан алат за тунелирање који користе нападачи да би заобишли заштитне зидове и друге мере мрежне безбедности, креирајући шифроване тунеле који се могу користити за неоткривено премештање саобраћаја или приступ ограниченим системима.
  • GO Једноставан тунел

Овај софистицирани алат, заједно са коришћењем кинеске инфраструктуре, снажно указује на претећег актера који делује из Кине.

Остајање испред: Одбрамбене стратегије против сталне експлоатације

Иако су објављене безбедносне закрпе, штетне активности се и даље дешавају након објављивања закрпа, што указује на то да се претходно распоређене веб шкољке пренамењују и проширују од стране широког спектра превараната, од опортуниста до висококвалификованих противника. У овом окружењу претњи које се стално мењају, организације морају да примене свеобухватне мере санације, које укључују брзу примену званичних SAP ажурирања, пажљиво ограничавање приступа рањивим крајњим тачкама и деактивацију небитних услуга као што је Visual Composer.

Поред тога, одржавање повећане будности кроз континуирано праћење система и логова ради откривања аномалног понашања остаје неопходно. Ови одбрамбени напори су од виталног значаја за сузбијање потенцијала за даље компромитовање и заштиту оперативног интегритета SAP инфраструктура.

У тренду

Проширење претраживача позадина за плажу

Потенцијално нежељени програми, Отмичари претраживача
Проширење Беацх Валлпапер у почетку изгледа безопасно, нудећи корисницима примамљиву функцију приказивања сликовитих позадина претраживача са темом плаже. Међутим, након свеобухватне анализе коју...

Најгледанији

Злонамерних програма

Пецање, Спам
33,573
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...