ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม ความเสี่ยง ช่องโหว่ CVE-2025-31324

ช่องโหว่ CVE-2025-31324

โดย Mezo ใน ความเสี่ยง
แปลเป็น:

นักวิจัยด้านความปลอดภัยได้เชื่อมโยงผู้ก่อภัยคุกคามที่เกี่ยวข้องกับจีนที่มีชื่อว่า Chaya_004 เข้ากับการใช้ประโยชน์จากช่องโหว่ SAP NetWeaver ที่สำคัญซึ่งระบุได้ว่าเป็น CVE-2025-31324 ช่องโหว่นี้ซึ่งมีคะแนน CVSS สูงสุดคือ 10.0 อนุญาตให้ผู้โจมตีสามารถดำเนินการโค้ดจากระยะไกล (RCE) ได้โดยการอัปโหลดเว็บเชลล์ที่คุกคามผ่านจุดสิ้นสุด /developmentserver/metadatauploader ที่มีช่องโหว่

ช่องโหว่นี้ได้รับความสนใจเป็นครั้งแรกในช่วงปลายเดือนเมษายน 2025 เมื่อทีมงาน infosec ค้นพบว่าช่องโหว่นี้ถูกใช้ประโยชน์อย่างแข็งขันในธรรมชาติ ผู้โจมตีใช้ช่องโหว่นี้เพื่อติดตั้งเว็บเชลล์และเครื่องมือหลังการใช้ประโยชน์ เช่น Brute Ratel C4

Fallout: อุตสาหกรรมในจุดเล็ง

ตั้งแต่เดือนมีนาคม 2025 เป็นต้นมา ช่องโหว่นี้ถูกนำไปใช้ในทางที่ผิดอย่างแพร่หลายในอุตสาหกรรมและภูมิศาสตร์ต่างๆ การโจมตีเบื้องต้นเชื่อว่าเกิดขึ้นเร็วที่สุดในวันที่ 12 มีนาคม โดยมีการยืนยันการบุกรุกที่ประสบความสำเร็จระหว่างวันที่ 14 มีนาคมถึง 31 มีนาคม

ภาคส่วนที่ได้รับผลกระทบ ได้แก่:

  • พลังงานและสาธารณูปโภค
  • การผลิต
  • สื่อและความบันเทิง
  • น้ำมันและก๊าซ
  • ยา
  • องค์กรค้าปลีกและภาครัฐ

การโจมตีที่แพร่หลายเหล่านี้ชี้ไปที่แคมเปญทั่วโลกซึ่งอาจส่งผลกระทบต่อระบบ SAP หลายร้อยระบบ

ภายในโครงสร้างพื้นฐานที่เป็นอันตราย

ผู้ก่อภัยคุกคาม Chaya_004 อยู่แถวหน้าของแคมเปญเหล่านี้ โดยโฮสต์เชลล์ย้อนกลับบนเว็บที่เรียกว่า SuperShell บนที่อยู่ IP 47.97.42[.]177 โครงสร้างพื้นฐานนี้ยังเปิดเผยองค์ประกอบที่น่าสงสัยอื่น ๆ อีกด้วย:

  • พอร์ต 3232/HTTP ให้บริการใบรับรองที่ลงนามเองเลียนแบบ Cloudflare
  • เครื่องมือและบริการภาษาจีนหลากหลายที่โฮสต์ผ่านผู้ให้บริการคลาวด์ของจีน

เครื่องมือป้องกันมัลแวร์ที่เกี่ยวข้องกับกลุ่มนี้ได้แก่:

  • NPS (Network Policy Server) : เครื่องมือนี้มักใช้ในการจัดการนโยบายการเข้าถึงเครือข่าย ผู้โจมตีสามารถใช้ประโยชน์จากเครื่องมือนี้เพื่อควบคุมปริมาณการรับส่งข้อมูลบนเครือข่าย ซึ่งอาจทำให้เข้าถึงโดยไม่ได้รับอนุญาตหรือขัดขวางการสื่อสารได้
  • SoftEther VPN : ซอฟต์แวร์ VPN โอเพ่นซอร์สอเนกประสงค์ที่อาจถูกผู้โจมตีนำไปใช้ในทางที่ผิดเพื่อหลบเลี่ยงความปลอดภัยของเครือข่ายและสร้างการเชื่อมต่อแบบเข้ารหัสไปยังระบบระยะไกล ช่วยในการขโมยข้อมูลอย่างแอบๆ หรือเคลื่อนย้ายตามขวางภายในเครือข่ายที่ถูกบุกรุก
  • Cobalt Strike : เครื่องมือหลังการใช้ประโยชน์ที่เป็นที่รู้จักอย่างกว้างขวางซึ่งใช้สำหรับภัยคุกคามขั้นสูงที่ต่อเนื่อง ช่วยให้ผู้โจมตีสามารถจำลองการโจมตีทางไซเบอร์ในโลกแห่งความเป็นจริง ทำให้สามารถควบคุมและใช้ประโยชน์จากเครื่องที่ถูกบุกรุกได้อย่างลับๆ
  • Asset Reconnaissance Lighthouse (ARL) : เครื่องมือลาดตระเวนที่ช่วยให้ผู้โจมตีทำแผนที่ทรัพย์สินในเครือข่าย ระบุช่องโหว่ และรับข้อมูลเชิงลึกเกี่ยวกับเป้าหมายที่อาจเกิดขึ้นภายในเครือข่าย ช่วยเหลือในการโจมตีที่มีประสิทธิภาพและมีเป้าหมายชัดเจนมากขึ้น
  • Pocassist : เครื่องมือที่ออกแบบมาเพื่อช่วยในการสร้างและการใช้ประโยชน์จากจุดอ่อนในรูปแบบพิสูจน์แนวคิด (PoC) ช่วยให้ผู้โจมตีสามารถทำให้กระบวนการทดสอบช่องโหว่เป็นไปโดยอัตโนมัติและดำเนินการใช้ประโยชน์จากจุดอ่อนที่ต้องการได้
  • GOSINT : เครื่องมือที่ใช้ในการรวบรวมข่าวกรองโอเพ่นซอร์ส (OSINT) ซึ่งช่วยให้ผู้โจมตีรวบรวมข้อมูลที่เปิดเผยต่อสาธารณะเพื่อช่วยในการลาดตระเวน เช่น ข้อมูลพนักงาน รายละเอียดเครือข่าย หรือข้อมูลละเอียดอ่อนอื่นๆ ที่สามารถใช้ประโยชน์ในการโจมตีได้
  • GO Simple Tunnel : เครื่องมือสร้างอุโมงค์ง่ายๆ ที่ใช้โดยผู้โจมตีเพื่อหลีกเลี่ยงไฟร์วอลล์และมาตรการรักษาความปลอดภัยเครือข่ายอื่นๆ โดยสร้างอุโมงค์เข้ารหัสที่สามารถใช้เพื่อย้ายการรับส่งข้อมูลโดยไม่ถูกตรวจพบหรือเข้าถึงระบบที่ถูกจำกัด
  • อุโมงค์โกซิมเพิล

    • ชุดเครื่องมือที่ซับซ้อนนี้ เมื่อผนวกรวมกับการใช้โครงสร้างพื้นฐานของจีน แสดงให้เห็นอย่างชัดเจนว่ามีผู้ก่อภัยคุกคามปฏิบัติการจากจีน

    ก้าวไปข้างหน้า: กลยุทธ์การป้องกันการแสวงหาผลประโยชน์อย่างต่อเนื่อง

    แม้ว่าจะมีการออกแพตช์ด้านความปลอดภัยแล้ว แต่กิจกรรมที่สร้างความเสียหายยังคงดำเนินต่อไปในภูมิทัศน์หลังการแพตช์ ซึ่งบ่งชี้ว่าเว็บเชลล์ที่ติดตั้งไว้ก่อนหน้านี้กำลังถูกนำไปใช้ซ้ำและขยายขอบเขตโดยผู้ฉ้อโกงในวงกว้าง ตั้งแต่ผู้ฉวยโอกาสไปจนถึงผู้ต่อต้านที่มีทักษะสูง ในสภาพแวดล้อมภัยคุกคามที่เปลี่ยนแปลงไปนี้ องค์กรต่างๆ ต้องใช้มาตรการแก้ไขที่ครอบคลุม ซึ่งรวมถึงการใช้การอัปเดต SAP อย่างเป็นทางการอย่างรวดเร็ว การจำกัดการเข้าถึงจุดสิ้นสุดที่เสี่ยงภัยอย่างระมัดระวัง และการปิดใช้งานบริการที่ไม่จำเป็น เช่น Visual Composer

    นอกจากนี้ การรักษาระดับการเฝ้าระวังที่เพิ่มมากขึ้นผ่านการตรวจสอบระบบและบันทึกอย่างต่อเนื่องสำหรับพฤติกรรมที่ผิดปกติยังคงมีความจำเป็น ความพยายามในการป้องกันเหล่านี้มีความสำคัญต่อการลดโอกาสที่อาจเกิดการบุกรุกเพิ่มเติมและปกป้องความสมบูรณ์ของการทำงานของโครงสร้างพื้นฐาน SAP

    มาแรง

    Calmarean.co.in

    เว็บไซต์อันธพาล, แอดแวร์, แฮกเกอร์เบราว์เซอร์
    ในยุคที่การโต้ตอบออนไลน์แทบทุกครั้งมีความเสี่ยง ผู้ใช้ต้องระมัดระวังอยู่เสมอ การพลาดเพียงครั้งเดียว เช่น การคลิกลิงก์ที่น่าสงสัยหรือการโต้ตอบกับป๊อปอัปที่หลอกลวง...

    ส่วนขยายเบราว์เซอร์วอลเปเปอร์ชายหาด

    โปรแกรมที่อาจไม่เป็นที่ต้องการ, แฮกเกอร์เบราว์เซอร์
    ส่วนขยาย Beach Wallpaper ในตอนแรกดูเหมือนจะไม่เป็นอันตราย ทำให้ผู้ใช้มีฟีเจอร์ที่น่าดึงดูดในการจัดแสดงวอลเปเปอร์เบราว์เซอร์ธีมชายหาดที่งดงาม อย่างไรก็ตาม...

    ARROW Ransomware

    แรนซัมแวร์
    ภัยคุกคามจากแรนซัมแวร์ได้กลายมาเป็นหนึ่งในความเสี่ยงทางไซเบอร์ที่คุกคามมากที่สุด โปรแกรมที่ไม่ปลอดภัยเหล่านี้ไม่เพียงแต่รบกวนเวิร์กโฟลว์ส่วนบุคคลและองค์กรเท่านั้น แต่ยังทำลายข้อมูลที่ละเอียดอ่อน...

    เข้าชมมากที่สุด

    มัลแวร์

    ฟิชชิ่ง, สแปม
    33,573
    ข้อความหลอกลวง 'Apple Pay Suspended' เป็นกลวิธีฟิชชิงประเภทหนึ่งที่กำหนดเป้าหมายผู้ใช้ Apple Pay ข้อความอ้างว่ากระเป๋าเงิน Apple Pay ของผู้ใช้ถูกระงับและขอให้คลิกลิงก์เพื่อกู้คืน อย่างไรก็ตาม การคลิกลิงก์จะนำผู้ใช้ไปยังเว็บไซต์ปลอมที่ออกแบบมาเพื่อขโมยข้อมูลส่วนบุคคลและข้อมูลทางการเงิน หากผู้ใช้ตกเป็นเหยื่อของแผนการนี้ ผลที่ตามมาอาจร้ายแรง...
    'Geek Squad' อีเมลหลอกลวง สกรีนช็อต

    'Geek Squad' อีเมลหลอกลวง

    ฟิชชิ่ง, สแปม
    32,015
    Geek Squad ผู้ให้บริการสนับสนุนด้านเทคนิคยอดนิยม ได้กลายเป็นเหยื่อของกลโกงฟิชชิ่งที่เรียกว่า Geek Squad Email Scam กลโกงการสนับสนุนทางเทคนิคนี้ใช้อีเมลปลอมที่หลอกลวงให้ผู้คนเปิดเผยข้อมูลส่วนบุคคล...

    ป๊อปอัป "iPhone ของคุณถูกแฮ็ก"

    แอดแวร์
    23,874
    เนื่องจากเทคโนโลยีถูกรวมเข้ากับชีวิตประจำวันของเราอย่างมาก อาชญากรไซเบอร์จึงค้นหาวิธีใหม่ๆ ในการใช้ประโยชน์จากช่องโหว่ด้วยเจตนาร้าย การหลอกลวงที่พบบ่อยอย่างหนึ่งที่ผู้ใช้ iPhone...
    กำลังโหลด...