Multi-License Discount Quote
Banta sa Database kahinaan CVE-2025-31324 Kahinaan

CVE-2025-31324 Kahinaan

Sa pamamagitan ng Mezo sa kahinaan
Isalin To:

Iniugnay ng mga mananaliksik sa seguridad ang isang aktor ng pagbabanta na nauugnay sa China, na tinawag na Chaya_004, sa pagsasamantala sa isang kritikal na kahinaan ng SAP NetWeaver na kinilala bilang CVE-2025-31324. Dala ang pinakamataas na marka ng CVSS na 10.0, pinahihintulutan ng kapintasang ito ang mga umaatake na makamit ang remote code execution (RCE) sa pamamagitan ng pag-upload ng mga nagbabantang Web shell sa pamamagitan ng vulnerable na /developmentserver/metadatauploader endpoint.

Ang kahinaang ito ay unang nakakuha ng pansin noong huling bahagi ng Abril 2025, nang matuklasan ng mga infosec team na ito ay aktibong pinagsamantalahan sa ligaw. Ginagamit ito ng mga attacker para mag-deploy ng mga web shell at post-exploitation tool tulad ng Brute Ratel C4.

The Fallout: Mga Industriya sa Crosshairs

Mula noong Marso 2025, ang kahinaang ito ay malawakang inabuso sa iba't ibang industriya at heograpiya. Ang paunang pagsasamantala ay pinaniniwalaang naganap noong Marso 12, na may kumpirmadong matagumpay na panghihimasok na naganap sa pagitan ng Marso 14 at Marso 31.

Ang mga nakompromisong sektor ay kinabibilangan ng:

  • Enerhiya at mga kagamitan
  • Paggawa
  • Media at libangan
  • Langis at gas
  • Pharmaceuticals
  • Mga organisasyon sa tingian at pamahalaan

Ang mga malawakang pag-atake na ito ay tumutukoy sa isang pandaigdigang kampanya, na posibleng makaapekto sa daan-daang SAP system.

Sa loob ng Mapanganib na Imprastraktura

Ang banta ng aktor na si Chaya_004 ay nangunguna sa mga kampanyang ito, na nagho-host ng isang Web-based na reverse shell na tinatawag na SuperShell sa IP address na 47.97.42[.]177. Ang imprastraktura na ito ay nagpahayag din ng iba pang mga kahina-hinalang elemento:

  • Port 3232/HTTP, na naghahatid ng self-signed certificate na ginagaya ang Cloudflare
  • Maramihang Chinese-language na tool at serbisyo na naka-host sa pamamagitan ng Chinese cloud provider

Kasama sa mga tool sa malware na nauugnay sa pangkat ang:

  • NPS (Network Policy Server) : Ang tool na ito ay kadalasang ginagamit upang pamahalaan ang mga patakaran sa pag-access sa network. Maaaring samantalahin ito ng mga umaatake upang manipulahin ang trapiko sa network, na posibleng magpagana ng hindi awtorisadong pag-access o makagambala sa komunikasyon.
  • SoftEther VPN : Isang maraming nalalaman, open-source na VPN software na maaaring gamitin sa maling paraan ng mga umaatake upang i-bypass ang seguridad ng network at magtatag ng mga naka-encrypt na koneksyon sa mga malalayong system, na tumutulong sa palihim na pag-exfiltration ng data o lateral na paggalaw sa loob ng mga nakompromisong network.
  • Cobalt Strike : Isang malawak na kilalang post-exploitation tool na ginagamit para sa mga advanced na patuloy na pagbabanta. Nagbibigay-daan ito sa mga umaatake na gayahin ang mga cyberattack sa totoong mundo, na nagbibigay sa kanila ng kakayahang kontrolin at pagsamantalahan ang mga nakompromisong makina nang patago.
  • Asset Reconnaissance Lighthouse (ARL) : Isang reconnaissance tool na tumutulong sa mga attacker na i-map out ang mga asset ng network, tukuyin ang mga kahinaan, at makakuha ng mga insight sa mga potensyal na target sa loob ng isang network, na tumutulong sa mas epektibo at nakatuong mga pag-atake.
  • Pocassist : Isang tool na idinisenyo upang tumulong sa paggawa at pagsasamantala ng proof-of-concept (PoC) na pagsasamantala, na tumutulong sa mga umaatake na i-automate ang proseso ng pagsubok sa mga kahinaan at pagsasagawa ng mga naka-target na pagsasamantala.
  • GOSINT : Isang tool na ginagamit para sa open-source intelligence (OSINT) gathering, na tumutulong sa mga attacker na mangolekta ng impormasyong available sa publiko para tumulong sa reconnaissance, gaya ng data ng empleyado, mga detalye ng network, o iba pang sensitibong impormasyon na maaaring magamit sa mga pag-atake.
  • GO Simple Tunnel : Isang simpleng tool sa pag-tunnel na ginagamit ng mga umaatake upang i-bypass ang mga firewall at iba pang mga hakbang sa seguridad ng network, na lumilikha ng mga naka-encrypt na tunnel na maaaring magamit upang ilipat ang trapiko nang hindi natukoy o ma-access ang mga pinaghihigpitang system.
  • GO Simple Tunnel

Ang sopistikadong toolkit na ito, kasama ang paggamit ng imprastraktura ng Tsina, ay malakas na nagpapahiwatig ng isang banta na kumikilos mula sa China.

Pananatiling Nauuna: Mga Istratehiya sa Pagtatanggol laban sa Patuloy na Pagsasamantala

Bagama't naibigay na ang mga security patch, nagpapatuloy ang nakakapinsalang aktibidad sa post-patch na landscape, na nagpapahiwatig na ang mga dating naka-deploy na web shell ay nire-repurpose at pinalalawak ng malawak na spectrum ng mga manloloko, mula sa mga oportunista hanggang sa napakahusay na mga kalaban. Sa umuusbong na kapaligiran ng pagbabanta na ito, ang mga organisasyon ay dapat magpatupad ng mga komprehensibong hakbang sa remediation, na kinabibilangan ng agarang aplikasyon ng mga opisyal na update sa SAP, ang maingat na paghihigpit sa pag-access sa mga vulnerable na endpoint, at ang pag-deactivate ng mga hindi mahahalagang serbisyo gaya ng Visual Composer.

Bukod pa rito, ang pagpapanatili ng mas mataas na pagbabantay sa pamamagitan ng patuloy na sistema at pagsubaybay sa log para sa maanomalyang pag-uugali ay nananatiling mahalaga. Ang mga pagtatanggol na pagsisikap na ito ay mahalaga upang pigilan ang potensyal para sa higit pang kompromiso at pangalagaan ang integridad ng pagpapatakbo ng mga imprastraktura ng SAP.

Trending

Pinaka Nanood

Naglo-load...