Rabattoffert för flera licenser
Hotdatabas Sårbarhet CVE-2025-31324 Sårbarhet

CVE-2025-31324 Sårbarhet

Med Mezo år Sårbarhet
Översätt till:

Säkerhetsforskare har kopplat en Kina-ansluten hotaktör, kallad Chaya_004, till utnyttjandet av en kritisk SAP NetWeaver-sårbarhet identifierad som CVE-2025-31324. Denna brist, med den högsta CVSS-poängen på 10,0, tillåter angripare att utföra fjärrkodkörning (RCE) genom att ladda upp hotfulla webbgränssnitt via den sårbara slutpunkten /developmentserver/metadatauploader.

Denna sårbarhet uppmärksammades först i slutet av april 2025, när informationssäkerhetsteam upptäckte att den aktivt utnyttjades i det vilda. Angripare har använt den för att distribuera webbskal och verktyg för efteranvändning som Brute Ratel C4.

Fallout: Branscher i sikte

Sedan mars 2025 har denna sårbarhet utnyttjats i stor utsträckning inom olika branscher och geografiska områden. Den första utnyttjandet tros ha inträffat så tidigt som den 12 mars, med bekräftade lyckade intrång som ägde rum mellan 14 och 31 mars.

De drabbade sektorerna inkluderar:

  • Energi och allmännyttiga tjänster
  • Tillverkning
  • Media och underhållning
  • Olja och gas
  • Läkemedel
  • Detaljhandel och statliga organisationer

Dessa utbredda attacker pekar på en global kampanj som potentiellt påverkar hundratals SAP-system.

Inuti den skadliga infrastrukturen

Hotaktören Chaya_004 har varit i framkant av dessa kampanjer och har drivit ett webbaserat omvänt skal som heter SuperShell på IP-adressen 47.97.42[.]177. Denna infrastruktur avslöjade också andra misstänkta element:

  • Port 3232/HTTP, som serverar ett självsignerat certifikat som imiterar Cloudflare
  • Flera kinesiskspråkiga verktyg och tjänster som tillhandahålls av kinesiska molnleverantörer

Skadliga program som är kopplade till gruppen inkluderar:

  • NPS (Network Policy Server) : Det här verktyget används ofta för att hantera policyer för nätverksåtkomst. Angripare kan utnyttja det för att manipulera nätverkstrafik, vilket potentiellt möjliggör obehörig åtkomst eller stör kommunikationen.
  • SoftEther VPN : En mångsidig VPN-programvara med öppen källkod som kan missbrukas av angripare för att kringgå nätverkssäkerhet och upprätta krypterade anslutningar till fjärrsystem, vilket underlättar smygande dataexfiltrering eller lateral förflyttning inom komprometterade nätverk.
  • Cobalt Strike : Ett allmänt känt verktyg efter utnyttjande som används för avancerade, ihållande hot. Det låter angripare simulera verkliga cyberattacker, vilket ger dem möjlighet att kontrollera och utnyttja komprometterade maskiner i hemlighet.
  • Asset Reconnaissance Lighthouse (ARL) : Ett rekognoseringsverktyg som hjälper angripare att kartlägga nätverkstillgångar, identifiera sårbarheter och få insikter om potentiella mål inom ett nätverk, vilket bidrar till mer effektiva och fokuserade attacker.
  • Pocassist : Ett verktyg utformat för att hjälpa till med skapandet och utnyttjandet av proof-of-concept (PoC)-exploits, vilket hjälper angripare att automatisera processen att testa sårbarheter och utföra riktade exploits.
  • GOSINT : Ett verktyg som används för insamling av öppen källkodsinformation (OSINT), vilket hjälper angripare att samla in offentligt tillgänglig information för att underlätta rekognoscering, såsom anställningsdata, nätverksdetaljer eller annan känslig information som kan utnyttjas i attacker.
  • GO Simple Tunnel : Ett enkelt tunnelverktyg som används av angripare för att kringgå brandväggar och andra nätverkssäkerhetsåtgärder, vilket skapar krypterade tunnlar som kan användas för att flytta trafik oupptäckt eller få åtkomst till begränsade system.
  • GO Simple Tunnel

Denna sofistikerade verktygslåda, i kombination med användningen av kinesisk infrastruktur, indikerar starkt en hotaktör som opererar från Kina.

Att ligga steget före: Försvarsstrategier mot fortsatt exploatering

Även om säkerhetsuppdateringar har utfärdats kvarstår skadlig aktivitet i efterbehandlingen, vilket tyder på att tidigare driftsatta webbskal återanvänds och utökas av ett brett spektrum av bedragare, från opportunister till mycket skickliga motståndare. I denna föränderliga hotmiljö måste organisationer implementera omfattande åtgärdsåtgärder, vilka inkluderar snabb tillämpning av officiella SAP-uppdateringar, noggrann begränsning av åtkomst till sårbara slutpunkter och inaktivering av icke-nödvändiga tjänster som Visual Composer.

Dessutom är det fortfarande viktigt att upprätthålla ökad vaksamhet genom kontinuerlig system- och loggövervakning för att upptäcka avvikande beteenden. Dessa defensiva insatser är avgörande för att begränsa risken för ytterligare intrång och skydda SAP-infrastrukturernas operativa integritet.

Trendigt

Mest sedda

Läser in...