Νέα απειλή για κρίσιμες υποδομές
Μια πρόσφατα αποκαλυφθείσα κρίσιμη ευπάθεια ασφαλείας που επηρεάζει το SAP NetWeaver εκμεταλλεύονται πολλοί κρατικοί φορείς που συνδέονται με την Κίνα, με στόχο κρίσιμα δίκτυα υποδομών. Η ευπάθεια, γνωστή ως CVE-2025-31324, επιτρέπει την ανεξέλεγκτη μεταφόρτωση αρχείων και την εκτέλεση κώδικα από απόσταση (RCE), όπως αναφέρει ο ερευνητής της EclecticIQ, Arda Büyükkaya.
Στόχοι και επιπτώσεις
Η εκστρατεία στοχεύει δίκτυα διανομής φυσικού αερίου, υπηρεσίες διαχείρισης υδάτων και αποβλήτων στο Ηνωμένο Βασίλειο, εργοστάσια κατασκευής ιατρικών συσκευών, εταιρείες εξερεύνησης πετρελαίου και φυσικού αερίου στις Ηνωμένες Πολιτείες, καθώς και υπουργεία στη Σαουδική Αραβία που είναι υπεύθυνα για τη στρατηγική επενδύσεων και τη ρύθμιση των οικονομικών.
Μεθοδολογία επίθεσης
Τα ευρήματα βασίζονται σε έναν δημόσια εκτεθειμένο κατάλογο που ανακαλύφθηκε σε υποδομή που ελέγχεται από τους επιτιθέμενους, καταγράφοντας δραστηριότητες σε πολλαπλά συμβιβασμένα συστήματα. Η ολλανδική εταιρεία κυβερνοασφάλειας αποδίδει τις εισβολές σε κινεζικές ομάδες απειλής, όπως οι UNC5221, UNC5174, και CL-STA-0048.
Αναλυτική περιγραφή των επιθέσεων
Η υποδομή φιλοξενεί πολλαπλά αρχεία, όπως το “CVE-2025-31324-results.txt”, που καταγράφει 581 περιπτώσεις συμβιβασμένων συστημάτων SAP NetWeaver με εγκατεστημένα web shells. Επίσης, περιλαμβάνει το αρχείο “服务数据_20250427_212229.txt”, που απαριθμεί 800 τομείς που πιθανότατα θα στοχοποιηθούν στο μέλλον.
Διαρκής απειλή από κινεζικές ομάδες
Η εκμετάλλευση της CVE-2025-31324 συνοδεύεται από την ανάπτυξη δύο web shells που διατηρούν μόνιμη απομακρυσμένη πρόσβαση στα μολυσμένα συστήματα. Παρατηρήθηκαν τρεις διαφορετικές κινεζικές ομάδες hacking να εκμεταλλεύονται την ευπάθεια, με στόχο τη διατήρηση απομακρυσμένης πρόσβασης, τη διεξαγωγή αναγνωρίσεων και την εγκατάσταση κακόβουλων προγραμμάτων.
Συνεχιζόμενη εκμετάλλευση και νέες ευπάθειες
Οι κινεζικές ομάδες APT είναι πιθανό να συνεχίσουν να στοχοποιούν εφαρμογές επιχειρήσεων και συσκευές αιχμής για να αποκτήσουν μακροπρόθεσμη στρατηγική πρόσβαση σε κρίσιμα δίκτυα υποδομών παγκοσμίως. Η εστίασή τους σε πλατφόρμες όπως το SAP NetWeaver είναι στρατηγική, καθώς αυτά τα συστήματα είναι βαθιά ενσωματωμένα σε επιχειρηματικά περιβάλλοντα και συχνά φιλοξενούν μη ενημερωμένες ευπάθειες.
Νέα ευπάθεια στο SAP NetWeaver
Η αποκάλυψη αυτή έρχεται λίγες ημέρες μετά την εκμετάλλευση της CVE-2025-31324 από έναν άλλο κινεζικό φορέα απειλής, που ονομάζεται Chaya_004, για την ανάπτυξη ενός Go-based reverse shell, γνωστού ως SuperShell. Η εταιρεία ασφάλειας Onapsis παρατηρεί σημαντική δραστηριότητα από επιτιθέμενους που χρησιμοποιούν δημόσιες πληροφορίες για να ενεργοποιήσουν την εκμετάλλευση και να κάνουν κατάχρηση των web shells που έχουν τοποθετηθεί από τους αρχικούς επιτιθέμενους.
Συστάσεις για προστασία
Μια περαιτέρω ανάλυση αυτών των επιθέσεων οδήγησε στην ανακάλυψη ενός άλλου κρίσιμου ελαττώματος στο Visual Composer Metadata Uploader του NetWeaver, γνωστού ως CVE-2025-42999. Πρόκειται για μια ευπάθεια αποσειριοποίησης που θα μπορούσε να εκμεταλλευτεί από έναν προνομιούχο χρήστη για την μεταφόρτωση μη αξιόπιστου ή κακόβουλου περιεχομένου. Λόγω της συνεχιζόμενης ενεργής εκμετάλλευσης, οι πελάτες του SAP NetWeaver συνιστάται να ενημερώσουν τις εκδόσεις τους το συντομότερο δυνατό.
