Zero Day19.08.202538 görüntülenme

SAP Zero-Day Güvenlik Açığı: CVE-2025-31324 ve CVE-2025-42999

Son dönemde açıklanan ve **SAP NetWeaver** sistemlerini etkileyen kritik bir sıfır gün güvenlik açığı (CVE-2025-31324), aktif olarak kötüye kullanılmaktadır. **CVSS puanı 10.0** olan bu açık, kimlik doğrulaması yapılmamış saldırganların hedef sistemi tamamen ele geçirmesine olanak tanımaktadır.

B

Bektas OZKAN

İçerik Editörü

SAP Zero-Day Güvenlik Açığı: CVE-2025-31324 ve CVE-2025-42999

SAP Zero-Day Güvenlik Açığı: CVE-2025-31324 ve CVE-2025-42999

1. Yönetici Özeti

Son dönemde açıklanan ve SAP NetWeaver sistemlerini etkileyen kritik bir sıfır gün güvenlik açığı (CVE-2025-31324), aktif olarak kötüye kullanılmaktadır. CVSS puanı 10.0 olan bu açık, kimlik doğrulaması yapılmamış saldırganların hedef sistemi tamamen ele geçirmesine olanak tanımaktadır.

  • İlk keşif faaliyetleri Ocak 2025’te başlarken, aktif sömürü Mart 2025’ten itibaren doğrulanmıştır.
  • Hedeflenen sektörler arasında enerji, kamu hizmetleri, üretim, medya, eğlence, petrol ve gaz, ilaç ve perakende bulunmaktadır.
  • SAP, 24 Nisan 2025’te acil bir yama (SAP Security Note #3594142) yayınlamış, fakat yapılan ileri araştırmalar açığın aslında dosya yükleme değil uzaktan komut çalıştırma (RCE) olduğunu ortaya koymuştur.
  • Bunun üzerine SAP, CVE-2025-42999 (CVSS 9.1) numaralı ek güvenlik açığını kapatan SAP Security Note #3604119’u yayımlamıştır.

Çin bağlantılı tehdit aktörleri (Chaya_004, UNC5221, UNC5174, CL-STA-0048) bu açığı kullanarak hassas verilere erişim, finansal kayıtların manipülasyonu, fidye yazılımı dağıtımı ve sistem loglarının değiştirilmesi gibi saldırılar gerçekleştirmiştir.

Kuruluşlara acil olarak yamaların uygulanması ve geçmişte bir ihlal olup olmadığının belirlenmesi için uzlaşma değerlendirmesi yapılması tavsiye edilmektedir.

2. Ana Temalar ve Önemli Bulgular

2.1 Güvenlik Açıklarının Tanımı

  • CVE-2025-31324 (CVSS 10.0):
    SAP NetWeaver Java sistemlerindeki Visual Composer bileşenini etkiler. Başlangıçta "dosya yükleme" zafiyeti olarak tanımlansa da daha sonra RCE olduğu anlaşılmıştır.

    “The impact of exploiting this vulnerability is not only file upload but it’s really remote command execution.”

  • CVE-2025-42999 (CVSS 9.1):
    Java serileştirme zafiyetine dayanır ve CVE-2025-31324’ün temel nedenini giderir.

    “SAP rapidly released Security Note 3604119… thereby fixing the root cause.”

2.2 Aktif Sömürü ve Tehdit Aktörleri

  • İlk istismar Ocak 2025’te keşif ile başladı, Mart 2025’te aktif sömürüye dönüştü.
  • Başlangıçta gelişmiş tehdit aktörleri, daha sonra ise fırsatçı saldırganlar devreye girdi.
  • Çin bağlantılı APT grupları (UNC5221, UNC5174, CL-STA-0048) saldırıları aktif biçimde yürüttü.

2.3 Sömürü Teknikleri

  • Webshell Kullanımı: Antsword, jspkit, helper.jsp, cache.jsp gibi dosyalarla kalıcılık sağlandı.
  • Webshell’siz RCE: Saldırganlar doğrudan komut çalıştırabildi, böylece tespit edilmeden sistemde kalabildiler (living-off-the-land).
  • Etkiler: Finansal kayıtların manipülasyonu, PII verilerinin çalınması, fidye yazılımı dağıtımı ve log manipülasyonu.

2.4 Yama ve Azaltma Önerileri

  • Uygulanması Gereken Yamalar:
    • SAP Note #3594142
    • SAP Note #3604119 (temel nedeni düzeltir, en kritik yama)
  • Geçici Çözümler: SAP Note #3593336 kapsamında bileşenin kaldırılması veya erişimin engellenmesi.
  • Kapsamlı Yaklaşım: ERP sistemleri için ek loglama ve güvenlik kontrolleri önerilmektedir.

2.5 Tespit ve Olay Müdahalesi

  • IoC’ler:
    • /irj/root, /irj/work dizinlerinde şüpheli .jsp/.java/.class dosyaları.
    • HTTP POST/GET/HEAD isteklerinde anormallikler.
    • whoami, uname -a, ls -la gibi keşif komutlarının loglarda görünmesi.
  • Araçlar:
    • Onapsis & Mandiant Whitebox IoC Tarayıcısı.
    • Blackbox Güvenlik Açığı Tarayıcısı.
    • ORL tarafından yayımlanan YARA kuralı.

3. Zaman Çizelgesi

  • 20 Ocak 2025: İlk keşif faaliyetleri (Onapsis).
  • Mart 2025: Webshell’lerin konuşlandırıldığı başarılı sömürüler doğrulandı.
  • 24 Nisan 2025: SAP, CVE-2025-31324 için acil yama (#3594142) yayımladı.
  • 13 Mayıs 2025: SAP, ek güvenlik notu (#3604119) yayımladı.
  • 15 Mayıs 2025: CISA, CVE-2025-42999’u kritik zafiyet kataloğuna ekledi.
  • 31 Mayıs 2025: Yeni saldırı dalgası gözlemlendi.

4. Ek Bilgiler ve Tavsiyeler

  • Regülasyon Uyumluluğu: SOX, HIPAA, GDPR gibi düzenlemeler açısından kritik öneme sahiptir.
  • Yanlış Bilgilere Dikkat: Kamuya açık istismar kodlarının bir kısmı yanıltıcıdır; doğrulanmış kaynaklara güvenilmelidir.
  • SAP Destek Belgeleri:
    • SAP Security Note #3594142
    • SAP Note #3593336 (mitigasyon)
    • SAP Security Note #3604119
  • Yüksek Riskli Ortamlar: SAP NetWeaver Java sistemlerinin %50–70’inde ilgili bileşen etkin durumdadır. İç tehditler veya kötü amaçlı yazılımlar üzerinden dahi sömürü mümkündür.

Sonuç

CVE-2025-31324 ve CVE-2025-42999, SAP ekosistemi için son yılların en kritik güvenlik açıkları arasında yer almaktadır. Bu zafiyetler, kuruluşlara uzaktan komut çalıştırma, veri manipülasyonu ve fidye yazılımı saldırıları gibi büyük riskler doğurmuştur.

SAP müşterilerinin acilen yamaları uygulamaları, sistemlerini kapsamlı şekilde denetlemeleri ve olay müdahale planlarını güncellemeleri zorunludur. Güvenlik açıklarının doğası, SAP sistemlerinin siber saldırganlar için cazip hedef olmaya devam edeceğini göstermektedir.

Kaynak: Orijinal Makale

Etiketler

#Sap#sıfırıncı gün zafiyeti#yama yönetimi

Paylaş

💬 Bu İçerik Hakkında Sorularınız mı Var?

Bu içerikle ilgili geri bildirim vermek veya daha detaylı bilgi almak için bizimle iletişime geçin.