Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Sự dễ bị tổn thương Lỗ hổng CVE-2025-31324

Lỗ hổng CVE-2025-31324

Đến năm Mezo năm Sự dễ bị tổn thương
Dịch sang:

Các nhà nghiên cứu bảo mật đã liên kết một tác nhân đe dọa có liên quan đến Trung Quốc, được gọi là Chaya_004, với việc khai thác lỗ hổng SAP NetWeaver quan trọng được xác định là CVE-2025-31324. Với điểm CVSS cao nhất là 10.0, lỗ hổng này cho phép kẻ tấn công thực hiện mã từ xa (RCE) bằng cách tải lên các Web shell đe dọa thông qua điểm cuối dễ bị tấn công /developmentserver/metadatauploader.

Lỗ hổng này lần đầu tiên được chú ý vào cuối tháng 4 năm 2025, khi các nhóm bảo mật thông tin phát hiện ra nó đang được khai thác tích cực trong tự nhiên. Những kẻ tấn công đã sử dụng nó để triển khai web shell và các công cụ sau khai thác như Brute Ratel C4.

Fallout: Các ngành công nghiệp trong tầm ngắm

Kể từ tháng 3 năm 2025, lỗ hổng này đã bị lạm dụng rộng rãi trong nhiều ngành công nghiệp và địa lý khác nhau. Việc khai thác ban đầu được cho là đã xảy ra sớm nhất là vào ngày 12 tháng 3, với các cuộc xâm nhập thành công được xác nhận diễn ra trong khoảng thời gian từ ngày 14 tháng 3 đến ngày 31 tháng 3.

Các lĩnh vực bị xâm phạm bao gồm:

  • Năng lượng và tiện ích
  • Chế tạo
  • Phương tiện truyền thông và giải trí
  • Dầu khí
  • Dược phẩm
  • Các tổ chức bán lẻ và chính phủ

Những cuộc tấn công lan rộng này hướng đến một chiến dịch toàn cầu, có khả năng ảnh hưởng đến hàng trăm hệ thống SAP.

Bên trong cơ sở hạ tầng có hại

Tác nhân đe dọa Chaya_004 đã đi đầu trong các chiến dịch này, lưu trữ một shell đảo ngược dựa trên Web có tên là SuperShell trên địa chỉ IP 47.97.42[.]177. Cơ sở hạ tầng này cũng tiết lộ các yếu tố đáng ngờ khác:

  • Cổng 3232/HTTP, phục vụ chứng chỉ tự ký mô phỏng Cloudflare
  • Nhiều công cụ và dịch vụ tiếng Trung được lưu trữ thông qua các nhà cung cấp đám mây Trung Quốc

Các công cụ phần mềm độc hại liên quan đến nhóm này bao gồm:

  • NPS (Network Policy Server) : Công cụ này thường được sử dụng để quản lý các chính sách truy cập mạng. Kẻ tấn công có thể khai thác nó để thao túng lưu lượng mạng, có khả năng cho phép truy cập trái phép hoặc phá vỡ giao tiếp.
  • SoftEther VPN : Một phần mềm VPN mã nguồn mở đa năng có thể bị kẻ tấn công sử dụng sai mục đích để vượt qua bảo mật mạng và thiết lập các kết nối được mã hóa tới các hệ thống từ xa, hỗ trợ đánh cắp dữ liệu bí mật hoặc di chuyển ngang trong các mạng bị xâm phạm.
  • Cobalt Strike : Một công cụ khai thác hậu kỳ được biết đến rộng rãi được sử dụng cho các mối đe dọa dai dẳng nâng cao. Nó cho phép kẻ tấn công mô phỏng các cuộc tấn công mạng trong thế giới thực, giúp chúng có khả năng kiểm soát và khai thác các máy bị xâm nhập một cách bí mật.
  • Asset Reconnaissance Lighthouse (ARL) : Một công cụ trinh sát giúp kẻ tấn công lập bản đồ tài sản mạng, xác định lỗ hổng và hiểu rõ hơn về các mục tiêu tiềm năng trong mạng, hỗ trợ các cuộc tấn công hiệu quả và có mục tiêu rõ ràng hơn.
  • Pocassist : Một công cụ được thiết kế để hỗ trợ tạo và khai thác các lỗ hổng chứng minh khái niệm (PoC), giúp kẻ tấn công tự động hóa quá trình kiểm tra lỗ hổng và thực hiện các lỗ hổng có mục tiêu.
  • GOSINT : Một công cụ được sử dụng để thu thập thông tin tình báo nguồn mở (OSINT), giúp kẻ tấn công thu thập thông tin có sẵn công khai để hỗ trợ trinh sát, chẳng hạn như dữ liệu nhân viên, thông tin chi tiết về mạng hoặc các thông tin nhạy cảm khác có thể được sử dụng trong các cuộc tấn công.
  • GO Simple Tunnel : Một công cụ tạo đường hầm đơn giản được kẻ tấn công sử dụng để vượt qua tường lửa và các biện pháp bảo mật mạng khác, tạo ra các đường hầm được mã hóa có thể được sử dụng để di chuyển lưu lượng không bị phát hiện hoặc truy cập vào các hệ thống bị hạn chế.
  • Đường hầm đơn giản GO

Bộ công cụ tinh vi này, cùng với việc sử dụng cơ sở hạ tầng của Trung Quốc, cho thấy rõ ràng có một tác nhân đe dọa hoạt động từ Trung Quốc.

Giữ vững vị thế: Chiến lược phòng thủ chống lại sự khai thác đang diễn ra

Mặc dù các bản vá bảo mật đã được phát hành, hoạt động gây hại vẫn tiếp diễn trong bối cảnh sau bản vá, cho thấy các web shell đã triển khai trước đó đang được nhiều kẻ gian lận sử dụng lại và mở rộng, từ những kẻ cơ hội đến những kẻ thù có kỹ năng cao. Trong môi trường đe dọa đang phát triển này, các tổ chức phải triển khai các biện pháp khắc phục toàn diện, bao gồm việc áp dụng kịp thời các bản cập nhật SAP chính thức, hạn chế cẩn thận quyền truy cập vào các điểm cuối dễ bị tấn công và hủy kích hoạt các dịch vụ không cần thiết như Visual Composer.

Ngoài ra, việc duy trì sự cảnh giác cao độ thông qua việc giám sát liên tục hệ thống và nhật ký để phát hiện hành vi bất thường vẫn là điều cần thiết. Những nỗ lực phòng thủ này rất quan trọng để hạn chế khả năng xâm phạm thêm và bảo vệ tính toàn vẹn hoạt động của cơ sở hạ tầng SAP.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
33,573
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...