CVE-2025-31324 దుర్బలత్వం

భద్రతా పరిశోధకులు చైనా-అనుబంధ బెదిరింపు కారకుడిని, ఛాయా_004 గా పిలుస్తారు, CVE-2025-31324 గా గుర్తించబడిన కీలకమైన SAP నెట్‌వీవర్ దుర్బలత్వాన్ని దోపిడీ చేయడానికి అనుసంధానించారు. అత్యధిక CVSS స్కోరు 10.0 కలిగి ఉండటం వలన, ఈ లోపం దాడి చేసేవారు దుర్బలమైన /developmentserver/metadatauploader ఎండ్‌పాయింట్ ద్వారా బెదిరింపు వెబ్ షెల్‌లను అప్‌లోడ్ చేయడం ద్వారా రిమోట్ కోడ్ ఎగ్జిక్యూషన్ (RCE) సాధించడానికి అనుమతిస్తుంది.

ఈ దుర్బలత్వం మొదట ఏప్రిల్ 2025 చివరిలో దృష్టిని ఆకర్షించింది, ఇన్ఫోసెక్ బృందాలు దీనిని అడవిలో చురుకుగా దోపిడీ చేస్తున్నట్లు కనుగొన్నప్పుడు. దాడి చేసేవారు దీనిని వెబ్ షెల్స్ మరియు బ్రూట్ రాటెల్ C4 వంటి దోపిడీ అనంతర సాధనాలను అమలు చేయడానికి ఉపయోగిస్తున్నారు.

ది ఫాల్అవుట్: ఎదురుదెబ్బ తగిలిన పరిశ్రమలు

మార్చి 2025 నుండి, ఈ దుర్బలత్వం వివిధ పరిశ్రమలు మరియు భౌగోళిక ప్రాంతాలలో విస్తృతంగా దుర్వినియోగం చేయబడింది. ప్రారంభ దోపిడీ మార్చి 12 నాటికే జరిగిందని నమ్ముతారు, మార్చి 14 మరియు మార్చి 31 మధ్య విజయవంతమైన చొరబాట్లు జరిగాయని నిర్ధారించబడింది.

రాజీపడిన రంగాలలో ఇవి ఉన్నాయి:

• శక్తి మరియు వినియోగాలు
• తయారీ
• మీడియా మరియు వినోదం
• చమురు మరియు వాయువు
• ఫార్మాస్యూటికల్స్
• రిటైల్ మరియు ప్రభుత్వ సంస్థలు

ఈ విస్తృత దాడులు వందలాది SAP వ్యవస్థలను ప్రభావితం చేసే ప్రపంచవ్యాప్త ప్రచారాన్ని సూచిస్తున్నాయి.

హానికరమైన మౌలిక సదుపాయాల లోపల

ఈ ప్రచారాలలో థ్రెట్ యాక్టర్ ఛాయా_004 ముందంజలో ఉన్నాడు, IP చిరునామా 47.97.42[.]177లో సూపర్‌షెల్ అనే వెబ్ ఆధారిత రివర్స్ షెల్‌ను హోస్ట్ చేస్తున్నాడు. ఈ మౌలిక సదుపాయాలు ఇతర అనుమానాస్పద అంశాలను కూడా వెల్లడించాయి:

• పోర్ట్ 3232/HTTP, క్లౌడ్‌ఫ్లేర్‌ను అనుకరిస్తూ స్వీయ సంతకం చేసిన సర్టిఫికెట్‌ను అందిస్తోంది.
• చైనీస్ క్లౌడ్ ప్రొవైడర్ల ద్వారా హోస్ట్ చేయబడిన బహుళ చైనీస్-భాషా సాధనాలు మరియు సేవలు

ఈ సమూహంతో అనుబంధించబడిన మాల్వేర్ సాధనాలు:

• NPS (నెట్‌వర్క్ పాలసీ సర్వర్) : ఈ సాధనం తరచుగా నెట్‌వర్క్ యాక్సెస్ విధానాలను నిర్వహించడానికి ఉపయోగించబడుతుంది. దాడి చేసేవారు నెట్‌వర్క్ ట్రాఫిక్‌ను మార్చటానికి దీనిని ఉపయోగించుకోవచ్చు, అనధికార యాక్సెస్‌ను ప్రారంభించడం లేదా కమ్యూనికేషన్‌కు అంతరాయం కలిగించడం వంటివి చేయవచ్చు.

ఈ అధునాతన టూల్‌కిట్, చైనా మౌలిక సదుపాయాల వాడకంతో కలిపి, చైనా నుండి పనిచేస్తున్న ముప్పు కారకుడిని బలంగా సూచిస్తుంది.

ముందుకు సాగడం: కొనసాగుతున్న దోపిడీకి వ్యతిరేకంగా రక్షణ వ్యూహాలు

భద్రతా ప్యాచ్‌లు జారీ చేయబడినప్పటికీ, పోస్ట్-ప్యాచ్ ల్యాండ్‌స్కేప్‌లో నష్టపరిచే కార్యకలాపాలు కొనసాగుతున్నాయి, ఇది గతంలో అమలు చేయబడిన వెబ్ షెల్‌లను అవకాశవాదుల నుండి అత్యంత నైపుణ్యం కలిగిన విరోధుల వరకు విస్తృత శ్రేణి మోసగాళ్ళు తిరిగి ఉపయోగించుకుంటున్నారని మరియు విస్తరింపజేస్తున్నారని సూచిస్తుంది. ఈ అభివృద్ధి చెందుతున్న ముప్పు వాతావరణంలో, సంస్థలు అధికారిక SAP నవీకరణలను సత్వరంగా వర్తింపజేయడం, దుర్బలమైన ఎండ్ పాయింట్‌లకు యాక్సెస్‌ను జాగ్రత్తగా పరిమితం చేయడం మరియు విజువల్ కంపోజర్ వంటి అనవసరమైన సేవలను నిష్క్రియం చేయడం వంటి సమగ్ర పరిష్కార చర్యలను అమలు చేయాలి.

అదనంగా, నిరంతర వ్యవస్థ మరియు లాగ్ పర్యవేక్షణ ద్వారా అసాధారణ ప్రవర్తన కోసం అధిక నిఘాను నిర్వహించడం చాలా అవసరం. ఈ రక్షణాత్మక ప్రయత్నాలు మరింత రాజీ పడే అవకాశాలను అరికట్టడానికి మరియు SAP మౌలిక సదుపాయాల యొక్క కార్యాచరణ సమగ్రతను కాపాడటానికి చాలా ముఖ్యమైనవి.