Siber Güvenlikte Dikkat Edilmesi Gerekenler Nelerdir?
SAP Sistemleri Neden Hedef Alınıyor?
CVE-2025-31324 Güvenlik Açığı Nedir?
Çinli Tehdit Aktörlerinin Rolleri Neler?
Güvenlik Açığı ve Saldırıların Arka Planı
Siber güvenlik alanında son zamanlarda önemli bir güvenlik açığı gündem yaratmakta. CVE-2025-31324 olarak bilinen bu güvenlik açığı, SAP NetWeaver sistemlerini etkileyen ciddi bir sorun. Geçtiğimiz günlerde, Forescout’un Vedere Labs araştırmacıları bu açığın, Çinli bir tehdit aktörü tarafından gerçekleştirilen sürekli saldırılarla ilişkilendirildiğini duyurdular.
Bu serious vulnerability, özellikle binlerce kurumsal sistemin güvenliğini tehdit etmekte. SAP, bu açığı kapatmak için 24 Nisan’da, acil bir yamanın çıkarıldığını duyurdu. Ancak, bu yamadan önce yaşanan saldırılar, kötü niyetli aktörlerin, etkilenen sistemlerden faydalanarak uzaktan kod çalıştırmalarına olanak tanıdı.
Gerçekleştirilen saldırılar, yetkisiz file upload işlemleri ile sistemlere girilmesiyle başladı. Kötü niyetli saldırganlar, JSP web shell’leri kamu dizinlerine yükleyerek hedef sistemlere girmeyi başardılar. Brute Ratel adlı bir aracın da kullanıldığı bu saldırılar, birçok şirketin sistemlerinin bu açığı istismar eden saldırganlar tarafından ele geçirilmesini sağladı.
Yaygın Etkilenme ve Tehditler
ReliaQuest’in raporuna göre, birçok müşteri sistemi, SAP NetWeaver üzerinden gerçekleştirilen yetkisiz dosya yüklemeleri ile ihlal edildi. Bu durum, güvenlik açığının ciddi boyutlara ulaştığını göstermekte. Zero-day exploit kullanımı ile yapılan bu saldırılar, tam yamanmış sistemlerde bile başarıyla gerçekleştirildi.
Forescout’un ve diğer güvenlik firmalarının belirttiği gibi, dünya genelinde birçok Fortune 500 veya Global 500 şirketi de bu tehdidin hedefinde bulunuyor. Geçtiğimiz günlerde gerçekleştirilen saldırılarda, Chaya_004 adında bir tehdit aktörünün rolü tespit edildi. Bu tehdit aktörü, özellikle Çin kaynaklı IP adresleri üzerinden saldırılarını gerçekleştirdi.
Çinli Üst Düzey Tehdit Aktörleri ve Araçları
Saldırılar sırasında kullanılan araçlardan biri, SuperShell adındaki web tabanlı ters shell uygulaması. Bu uygulama, Çin’deki geliştiriciler tarafından yazılmış olup, saldırganlar tarafından yaygın bir şekilde kullanılmakta. Forescout, araştırmaları sırasında, kötü niyetli bir altyapının Çin tehdit aktörlerine ait olduğunu ortaya çıkardığını bildirdi. Bu altyapı, Çin bulut sağlayıcıları üzerinde barındırılan sunuculardan oluşmakta ve sürekli olarak saldırı için kullanılıyor.
SAP yöneticileri, bu tür tehditlere karşı hemen harekete geçmelidir. SAP NetWeaver sistemlerini güncellemeleri, metadata uploader hizmetlerine erişimi kısıtlamaları ve şüpheli aktiviteyi izlemeleri gerekmekte. Ayrıca, Visual Composer hizmetinin devre dışı bırakılması da önemli bir önlem olarak dikkate alınmalıdır.
CISA, CVE-2025-31324 güvenlik açığını, bilinen exploited vulnerabilities listesine ekleyerek, ABD federal ajanslarının bu açığa karşı önlem alması için 20 Mayıs’a kadar süre tanıdı. Bu tür zayıflıkların, kötü niyetli siber aktörler için sıkça kullanılabileceği ve federal sistemleri önemli anlamda tehdit ettiği konusunda uyarılar yaptı.
Sonuç
Siber güvenlikte, açıkların giderilmesi ve saldırganların tespit edilmesi hayati bir önem taşımakta. CVE-2025-31324 gibi açıkların hızla kapatılmaması durumunda, saldırıların artması ve daha fazla şirketin hedef alınması kaçınılmaz olacaktır. Kuruluşlar, bu tür güvenlik sorunları ile başa çıkmak için hem teknik önlemler almalı hem de çalışanlarını siber güvenlik konusunda eğitmelidir.
Unutulmması gereken önemli bir nokta, siber tehditlerin sürekli evrim geçirdiği ve sürekli dikkat edilmesi gereken dinamik bir alan olduğudur. Bu nedenle, düzenli güvenlik testleri ve güncellemelerle birlikte siber güvenlik stratejilerinin gözden geçirilmesi önem arz etmektedir.
