CVE-2025-31324 Güvenlik Açığı

Güvenlik araştırmacıları, Chaya_004 adlı Çin bağlantılı bir tehdit aktörünü, CVE-2025-31324 olarak tanımlanan kritik bir SAP NetWeaver güvenlik açığının istismarına bağladılar. En yüksek CVSS puanı olan 10.0'ı taşıyan bu kusur, saldırganların savunmasız /developmentserver/metadatauploader uç noktası üzerinden tehdit edici Web kabukları yükleyerek uzaktan kod yürütme (RCE) elde etmelerine olanak tanır.

Bu güvenlik açığı ilk olarak Nisan 2025'in sonlarında, bilgi güvenliği ekiplerinin vahşi doğada aktif olarak istismar edildiğini keşfetmesiyle dikkat çekti. Saldırganlar, Brute Ratel C4 gibi web kabukları ve istismar sonrası araçları dağıtmak için bunu kullanıyordu.

Sonuç: Endüstriler Hedefte

Mart 2025'ten bu yana, bu güvenlik açığı çeşitli endüstriler ve coğrafyalar arasında yaygın bir şekilde kötüye kullanıldı. İlk istismarın 12 Mart kadar erken bir tarihte gerçekleştiğine ve 14 Mart ile 31 Mart arasında doğrulanmış başarılı saldırıların gerçekleştiğine inanılıyor.

Tehlikeye atılan sektörler şunlardır:

• Enerji ve kamu hizmetleri
• Üretme
• Medya ve eğlence
• Petrol ve gaz
• İlaçlar
• Perakende ve kamu kuruluşları

Bu yaygın saldırılar, potansiyel olarak yüzlerce SAP sistemini etkileyen küresel bir kampanyaya işaret ediyor.

Zararlı Altyapının İçinde

Tehdit aktörü Chaya_004, 47.97.42[.]177 IP adresinde SuperShell adlı Web tabanlı bir ters kabuk barındırarak bu kampanyaların ön saflarında yer aldı. Bu altyapı ayrıca diğer şüpheli unsurları da ortaya çıkardı:

• 3232/HTTP portu, Cloudflare'i taklit eden kendi kendine imzalanmış bir sertifika sunuyor
• Çince bulut sağlayıcıları aracılığıyla barındırılan birden fazla Çince dilinde araç ve hizmet

Grupla ilişkili kötü amaçlı yazılım araçları şunlardır:

• NPS (Ağ İlkesi Sunucusu) : Bu araç genellikle ağ erişim ilkelerini yönetmek için kullanılır. Saldırganlar bunu ağ trafiğini manipüle etmek, potansiyel olarak yetkisiz erişimi etkinleştirmek veya iletişimi bozmak için kullanabilirler.
• SoftEther VPN : Saldırganlar tarafından ağ güvenliğini aşmak ve uzak sistemlere şifreli bağlantılar kurmak, gizli veri sızdırma veya tehlikeye atılmış ağlar içinde yatay hareket sağlamak için kötüye kullanılabilen çok yönlü, açık kaynaklı bir VPN yazılımıdır.

• Cobalt Strike : Gelişmiş kalıcı tehditler için kullanılan yaygın olarak bilinen bir sömürü sonrası araç. Saldırganların gerçek dünya siber saldırılarını simüle etmelerine olanak tanır ve onlara tehlikeye atılmış makineleri gizlice kontrol etme ve sömürme yeteneği verir.

• Varlık Keşif Feneri (ARL) : Saldırganların ağ varlıklarını haritalandırmasına, güvenlik açıklarını belirlemesine ve ağ içindeki potansiyel hedefler hakkında bilgi edinmesine yardımcı olan, daha etkili ve odaklanmış saldırılar yapılmasına yardımcı olan bir keşif aracıdır.

• Pocassist : Saldırganların güvenlik açıklarını test etme ve hedefli istismarları yürütme sürecini otomatikleştirmesine yardımcı olarak, kavram kanıtı (PoC) istismarlarının oluşturulmasına ve istismar edilmesine yardımcı olmak üzere tasarlanmış bir araçtır.

• GOSINT : Saldırganların keşifte yardımcı olmak için çalışan verileri, ağ ayrıntıları veya saldırılarda kullanılabilecek diğer hassas bilgiler gibi kamuya açık bilgileri toplamasına yardımcı olan, açık kaynaklı istihbarat (OSINT) toplamak için kullanılan bir araçtır.

• GO Simple Tunnel : Saldırganların güvenlik duvarlarını ve diğer ağ güvenlik önlemlerini atlatmak, trafiği tespit edilemeden taşımak veya kısıtlı sistemlere erişmek için kullanılabilen şifreli tüneller oluşturmak için kullandıkları basit bir tünelleme aracıdır.

• GO Basit Tünel

Bu gelişmiş araç seti, Çin altyapısının kullanımıyla birleştiğinde, Çin'den faaliyet gösteren bir tehdit aktörünün varlığını güçlü bir şekilde ortaya koyuyor.

Önde Kalmak: Devam Eden Sömürüye Karşı Savunma Stratejileri

Güvenlik yamaları yayınlanmış olsa da, yama sonrası manzarada zararlı etkinlik devam ediyor ve bu da daha önce dağıtılan web kabuklarının fırsatçılardan son derece yetenekli saldırganlara kadar geniş bir yelpazedeki dolandırıcılar tarafından yeniden amaçlandırılıp genişletildiğini gösteriyor. Bu gelişen tehdit ortamında, kuruluşlar resmi SAP güncellemelerinin derhal uygulanması, savunmasız uç noktalara erişimin dikkatli bir şekilde kısıtlanması ve Visual Composer gibi temel olmayan hizmetlerin devre dışı bırakılması gibi kapsamlı düzeltme önlemlerini uygulamalıdır.

Ek olarak, anormal davranışlar için sürekli sistem ve günlük izleme yoluyla yüksek düzeyde dikkat gösterilmesi esastır. Bu savunma çabaları, daha fazla tehlikeye girme potansiyelini engellemek ve SAP altyapılarının operasyonel bütünlüğünü korumak için hayati öneme sahiptir.