Un difetto di sicurezza critico recentemente divulgato che ha un impatto su SAP Netweaver viene sfruttato da più attori dello stato-nazione cinese-segale per indirizzare le reti di infrastrutture critiche.
“Gli attori sfruttati CVE-2025-31324Un file non autenticato Carica la vulnerabilità che abilita l’esecuzione del codice remoto (RCE), “La ricercatrice Eclecticiq Arda Büyükkaya disse In un’analisi pubblicata oggi.
Gli obiettivi della campagna includono reti di distribuzione di fuel naturale, acqua e servizi integrati di gestione dei rifiuti nel Regno Unito, impianti di produzione di dispositivi medici Le società di esplorazione e produzione di petrolio e fuel negli Stati Uniti e ministeri governativi in Arabia Saudita che sono responsabili della strategia di investimento e della regolamentazione finanziaria.
I risultati si basano su una listing esposta pubblicamente scoperta sull’infrastruttura controllata dagli attaccanti (“15.204.56 (.) 106”) che conteneva registri di eventi che catturano le attività su più sistemi compromessi.
La società olandese di sicurezza informatica ha attribuito le intrusioni ai cluster di attività di minaccia cinesi monitorate come UNC5221, UNC5174E CL-STA-0048l’ultimo dei quali è stato collegato advert attacchi destinati a bersagli di alto valore in Asia meridionale sfruttando le vulnerabilità observe nei server IIS, Apache Tomcat e MS-SQL per far cadere gusci Internet, conchiglie inversa e il backdoor plugx.
Ha inoltre osservato che un attore di minaccia cinese-segnus non categorizzato sta conducendo una diffusa campagna di scansione e sfruttamento di Web contro SAP NetWeaver Methods. È stato scoperto che il server ospitato all’indirizzo IP “15.204.56 (.) 106” contiene più file, tra cui –
- “CVE-2025-31324-Outcomes.txt”, che ha registrato 581 istanze SAP NetWeaver compromesse e backdored con una shell Internet
- “服务数据 _20250427_212229.txt”, che elenca 800 domini con SAP NetWeaver probabilmente per il futuro focusing on
“L’infrastruttura Open-Dir esposta rivela violazioni confermate e mette in evidenza gli obiettivi pianificati del gruppo, offrendo una chiara visione delle operazioni passate e future”, ha osservato Büyükkaya.
Lo sfruttamento di CVE-2025-31324 è seguito dall’attore di minaccia che distribuisce due gusci Internet progettati per mantenere un accesso remoto persistente ai sistemi infetti ed eseguire comandi arbitrari.
Inoltre, sono stati osservati tre diversi gruppi di hacking cinesi sfruttando la vulnerabilità di SAP Netweaver come parte degli sforzi per mantenere l’accesso remoto, condurre ricognizioni e rilasciare programmi dannosi –
- Cl-Sta-0048, che ha tentato di stabilire una shell inversa interattiva a “43.247.135 (.) 53”, un indirizzo IP precedentemente identificato come utilizzato dall’attore di minaccia
- UNC5221, che ha sfruttato una shell Internet da distribuire KrusTyloaderun malware a base di ruggine che può essere utilizzato per servire carichi utili di secondo stadio come Sliver, impostare la persistenza ed eseguire comandi Shell
- UNC5174, che ha sfruttato una shell Internet per scaricare Snowlight, un caricatore che avvia una connessione con un server codificato per recuperare un Trojan a remoto basato su Go chiamato Vshell e un backdoor noto come Goreverse
“È molto probabile che gli APT collegati in Cina continuino a prendere di mira le applicazioni aziendali esposte a Web e i dispositivi di bordo per stabilire l’accesso strategico e di persistenza a lungo termine a reti di infrastrutture critiche a livello globale”, ha affermato Büyükkaya.
“La loro attenzione su piattaforme ampiamente utilizzate come SAP Netweaver è una mossa strategica, poiché questi sistemi sono profondamente integrati negli ambienti aziendali e spesso ospitano vulnerabilità non patch.”
Patch SAP Nuovo difetto di NetWeaver nel maggio 2025 patch
La divulgazione arriva giorni dopo che è stato anche un altro attore di minaccia senza nome collegato in Cina Dubbed Chaya_004 attribuito allo sfruttamento di CVE-2025-31324 per distribuire un guscio inverso basato su GO chiamato Supershell.
SAP Safety Studio Onapsis disse Sta “vedendo attività significative dagli aggressori che stanno usando informazioni pubbliche per innescare lo sfruttamento e l’abuso di conchiglie net collocate dagli aggressori originali, che attualmente sono diventati buoni”.
Ulteriori analisi di questi attacchi hanno portato alla scoperta di un altro difetto critico nel componente del caricatore dei metadati visivi di Netweaver. Tracciato come CVE-2025-42999 (Punteggio CVSS: 9.1), è stata descritta come una vulnerabilità di deserializzazione che potrebbe essere sfruttata da un utente privilegiato per caricare contenuti non attendibili o dannosi.
Alla luce dello sfruttamento attivo in corso, i clienti di SAP Netweaver si consiglia di aggiornare le loro istanze al Ultima versione appena possibile.
