Giriş: İki Kritik Zafiyet ve Aktif Saldırılar
SAP, NetWeaver platformunda keşfedilen ve Çin bağlantılı tehdit aktörleri tarafından aktif olarak istismar edilen iki kritik güvenlik açığına karşı acil güvenlik yamaları yayınladı. Bu zaafiyetler, kimlik doğrulama olmadan uzaktan kod çalıştırma (RCE) sağlayan ve sistemleri tamamen ele geçirmeye olanak tanıyan tehlikeli açıklardır.
EclecticIQ, Onapsis, ReliaQuest, watchTowr ve Forescout gibi birden fazla siber güvenlik firması, bu açıkların Ocak 2025’ten bu yana aktif olarak istismar edildiğini doğruladı. Saldırılar, kritik altyapı sistemlerini, enerji, sağlık ve devlet kurumlarını hedef alıyor.
Zaafiyetlerin Teknik Detayları
CVE-2025-31324: Kimlik Doğrulama Gerektirmeyen Dosya Yükleme Açığı
Bu zafiyet, SAP NetWeaver Visual Composer bileşeninde bulunan ve kimlik doğrulama gerektirmeyen bir dosya yükleme açığıdır. Saldırganlar, bu açık aracılığıyla:
- Herhangi bir kimlik doğrulama gerektirmeden dosya yükleyebilirler
- JSP web kabukları oluşturabilirler
- Uzaktan kod çalıştırabilirler (RCE)
- Etkilenen sistemlere tam erişim elde edebilirler
SAP, bu açığı Nisan 2025’te SAP Security Note 3594142 ile yamalamıştır. Ancak, araştırmacılar saldırıların devam ettiğini ve ikinci bir açığın da istismar edildiğini keşfetti.
CVE-2025-42999: Güvensiz Deserialization Açığı
Bu ikinci zafiyet, NetWeaver’ın Visual Composer Metadata Uploader bileşeninde bulunan bir deserialization (seri durumdan çıkarma) açığıdır. CVSS puanı 9.1 olan bu kritik açık:
- VisualComposerUser rolüne sahip kullanıcılar tarafından istismar edilebilir
- Güvenilmeyen veya zararlı içeriğin yüklenmesine olanak tanır
- CVE-2025-31324 ile birlikte zincirlendiğinde, hiçbir ayrıcalık olmadan uzaktan kod çalıştırmaya izin verir
SAP, bu açığı 12 Mayıs 2025’te SAP Security Note 3604119 ile yamalamıştır.
Zincirlenmiş Saldırı Vektörü ve Tekniği
Onapsis CTO’su Juan Pablo Perez-Etchegoyen’e göre, saldırganlar her iki açığı da zincirleyerek saldırılarını Ocak 2025’ten beri gerçekleştiriyorlar. Saldırı süreci şu şekilde işliyor:
- Saldırganlar önce CVE-2025-31324 açığını kullanarak kimlik doğrulama olmadan sistemlere erişim sağlıyor
- Ardından CVE-2025-42999 deserialization açığını kullanıyorlar
- Bu kombinasyon, hiçbir sistem ayrıcalığı olmadan uzaktan keyfi komut çalıştırmalarına olanak tanıyor
- Saldırganlar JSP web kabukları yükleyerek sistemlerde kalıcılık sağlıyor
- Bazı durumlarda Brute Ratel kırmızı takım aracı gibi gelişmiş araçlar da yükleniyor
ReliaQuest, tamamen yamalı gibi görünen sistemlerde bile saldırıların gerçekleştiğini gözlemledi, bu da saldırganların sıfır gün açığı kullandığını gösteriyor.
Tehdit Aktörleri ve Kullanılan Zararlı Yazılımlar
EclecticIQ, saldırıların arkasında birden fazla Çin bağlantılı APT grubunun bulunduğunu tespit etti:
- UNC5221:
- KrustyLoader adlı Rust tabanlı kötü amaçlı yazılımı kullanıyor
- Bu yükleyici, ikinci aşama olarak Sliver gibi kötü amaçlı yazılımları dağıtabilir
- Kalıcılık sağlayıp kabuk komutları çalıştırabilir
- UNC5174:
- SNOWLIGHT yükleyicisini kullanıyor
- Go tabanlı VShell uzaktan erişim trojanı (RAT) dağıtıyor
- GOREVERSE adlı bir arka kapı da kullanıyor
- CL-STA-0048:
- 43.247.135[.]53 IP adresine bağlanan etkileşimli ters kabuk (reverse shell) kullanıyor
- Daha önce Güney Asya’daki yüksek değerli hedeflere yapılan saldırılarla ilişkilendirilmişti
- Web kabukları, ters kabuklar ve PlugX arka kapısını kullanmış
- Chaya_004 (Forescout’s Vedere Labs tarafından izleniyor):
- Go tabanlı SuperShell ters kabuğunu dağıtıyor
Saldırı Kanıtları ve Tespit Edilen Altyapı
EclecticIQ, saldırganların kontrolündeki bir altyapıda (“15.204.56[.]106”) açık bir dizinde bulunan olay günlüklerini keşfetti. Bu sunucuda:
- “CVE-2025-31324-results.txt” – 581 ele geçirilmiş ve web kabuğu yerleştirilmiş SAP NetWeaver örneği listesi
- “服务数据_20250427_212229.txt” – Gelecekte hedeflenecek SAP NetWeaver çalıştıran 800 domain listesi
Onyphe CTO’su Patrice Auffret, yaklaşık 20 Fortune 500/Global 500 şirketinin savunmasız olduğunu ve bunların çoğunun halihazırda ele geçirildiğini belirtti. Nisan sonunda, 1.284 savunmasız örnek bulunuyordu ve bunların 474’ü zaten ele geçirilmişti.
Shadowserver Vakfı şu anda internete açık 2.040’tan fazla savunmasız SAP NetWeaver sunucusu takip ediyor.
Etkilenen Kritik Sektörler ve Kurumlar
Saldırıların hedefleri birçok kritik sektörü içeriyor:
- Birleşik Krallık:
- Doğal gaz dağıtım ağları
- Su ve entegre atık yönetimi tesisleri
- Amerika Birleşik Devletleri:
- Tıbbi cihaz üretim tesisleri
- Petrol ve doğalgaz arama ve üretim şirketleri
- Suudi Arabistan:
- Yatırım stratejisi ve finansal düzenlemeden sorumlu devlet bakanlıkları
Acil Koruma Önlemleri ve Çözümler
SAP NetWeaver kullanan tüm kuruluşlar için kapsamlı koruma stratejisi:
1. Acil Yama Uygulama
- CVE-2025-31324 için: SAP Security Note 3594142 uygulanmalı
- CVE-2025-42999 için: SAP Security Note 3604119 uygulanmalı
2. Sistemleri Tarama ve İyileştirme
- Yetkisiz web kabukları, özellikle JSP dosyaları için sistemleri kontrol edin
- Şüpheli aktiviteler, yetkisiz bağlantılar ve anormal süreçler için günlükleri inceleyin
- Potansiyel olarak ele geçirilmiş sistemleri izole edin ve temizleyin
3. Ek Güvenlik Önlemleri
- Visual Composer Hizmetini Devre Dışı Bırakma: Mümkünse ve iş sürekliliğini etkilemiyorsa
- Metadata Uploader Erişimini Kısıtlama: Erişimi yalnızca gerekli kullanıcılarla sınırlandırın
- Ağ Seviyesinde Koruma: SAP NetWeaver sunucularına erişimi güvenilir IP adreslerine sınırlayın
- Web Uygulama Güvenlik Duvarı Entegrasyonu: SAP sistemlerini korumak için WAF kurallarını güncelleyin
- Zero Trust Yaklaşımı: Tüm kullanıcı ve bağlantıları, yerleşik olsalar bile doğrulayın
4. Sürekli İzleme ve Yanıt
- SAP sistemlerinde anormal aktiviteleri tespit etmek için sürekli izleme yapın
- Şüpheli dosya yükleme aktivitelerini alarm olarak ayarlayın
- Özellikle Visual Composer’a yapılan erişimleri izleyin
- CISA gibi kurumların güvenlik tavsiyelerini takip edin
Resmi Eylemler ve Düzenleyici Uyarılar
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), CVE-2025-31324 açığını Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu’na eklemiştir. CISA, federal kurumlara Bağlayıcı Operasyonel Direktif (BOD) 22-01 kapsamında 20 Mayıs 2025 tarihine kadar sistemlerini güvence altına almalarını emretmiştir.
CISA, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık kullanılan saldırı vektörleridir ve federal kurumlara önemli riskler oluşturmaktadır” uyarısında bulunmuştur.
SAP’nin Yanıtı
SAP, bir sözcüsü aracılığıyla BleepingComputer’a verdiği demeçte: “SAP, SAP NETWEAVER Visual Composer’daki güvenlik açıklarının farkındadır ve bunları ele almaktadır. SAP NETWEAVER kullanan tüm müşterilerden kendilerini korumak için bu yamaları yüklemelerini istiyoruz. Güvenlik Notları burada bulunabilir: 3594142 ve 3604119.”
Sonuç ve Uzman Görüşleri
EclecticIQ araştırmacısı Arda Büyükkaya, “Çin bağlantılı APT’lerin, küresel olarak kritik altyapı ağlarına uzun vadeli stratejik ve kalıcı erişim sağlamak için internete açık kurumsal uygulamaları ve uç cihazları hedeflemeye devam etme olasılığı çok yüksektir,” dedi.
“SAP NetWeaver gibi yaygın olarak kullanılan platformlara odaklanmaları stratejik bir hamledir, çünkü bu sistemler kurumsal ortamlara derinden entegre edilmiştir ve genellikle yamalanmamış güvenlik açıkları barındırır.”
Uzmanlar, SAP NetWeaver kullanan tüm kuruluşların bu tehdidi son derece ciddiye almasını ve yukarıda belirtilen koruma önlemlerini hızla uygulamasını tavsiye ediyorlar. Bu açıklar, kurumsal sistemlerin kritik bileşenlerine derin erişim sağladığından, daha geniş ağ sızıntısı, veri hırsızlığı veya hizmet kesintisi için sıçrama tahtası olarak kullanılabilir.
Bu makale, SAP güvenlik danışmanlıkları ve EclecticIQ, Onapsis, ReliaQuest, watchTowr ve Forescout gibi saygın güvenlik araştırma şirketlerinden elde edilen bilgilere dayanmaktadır. Güncel güvenlik bilgileri için SAP Support Portal’ı ziyaret edin ve en son güvenlik yamalarını uygulayın.
Birlikte Güvende Olalım!
