SAP NetWeaver Güvenlik Açığı ve Çin Kökenli Saldırılar
Son günlerde, SAP NetWeaver platformunda keşfedilen kritik bir güvenlik açığı gündemi sarsmaya devam ediyor. Bu açık, CVE-2025-31324 olarak tanımlanmış olup, uzaktan kod yürütme (RCE) olanağı tanıyan temel bir kimlik denetimsiz dosya yükleme zafiyeti ile ilgilidir. EclecticIQ araştırmacısı Arda Büyükkaya, bu açığın, çeşitli Çin kaynaklı devlet aktörleri tarafından kritik altyapı ağlarını hedef almak amacıyla istismar edildiğini belirtiyor.
Hedef Altyapılar ve Hedef Ülkeler
Bu siber saldırılar, özellikle Birleşik Krallık‘ta doğalgaz dağıtım ağları, su ve entegre atık yönetim hizmetleri gibi kritik altyapıları hedef alıyor. Ayrıca, Amerika Birleşik Devletleri‘nde tıbbi cihaz üretim tesisleri ve enerji sektörü ile ilgili şirketler de bu saldırılardan nasibini alıyor. Suudi Arabistan‘da finansal düzenleme ve yatırım stratejisi ile sorumlu hükümet bakanlıkları da aynı şekilde hedefleniyor.
Bu bulgular, saldırganların kontrolündeki bir **açık dizin** üzerinde yer alan ve çeşitli sistemlerdeki aktiviteleri kaydeden olay günlüklerine dayanmaktadır. Bu dizinde, **15.204.56[.]106** IP adresine sahip bir sunucuda keşfedilen çok sayıda dosya mevcut.
İlginç Gözlemler ve Hedeflerin Belirlenmesi
Büyükkaya, siber saldırganların belirlediği hedeflerin planlanmış olduğunu ve geçmişten geleceğe sarkan bir operasyon süreci olduğunu vurguladı. CVE-2025-31324 zafiyetinin kullanılması sonrasında saldırganlar, bulaşan sistemlere kalıcı uzaktan erişim sağlamayı amaçlayan iki web shell kurmaktalar. Bu durum, saldırganların sadece mevcut sistemleri işgal etmekle kalmayıp, uzun vadeli stratejik hedefler için de hazırlık yaptıklarını gösteriyor.
Ayrıca, üç farklı **Çinli hacking grubu** da SAP NetWeaver açıklarını istismar etmekte. Bu gruplar arasında **CL-STA-0048**, **UNC5221** ve **UNC5174** yer alıyor. Her biri, uzaktan erişim sağlamak, keşif yapmak ve kötü amaçlı yazılımlar indirmek için çeşitli teknikler kullanıyor.
Öne Çıkan Teknikler ve Kullanılan Araçlar
Bu siber grupların kullandığı araçlar şunlardır:
- CL-STA-0048,
43.247.135[.]53IP adresine etkileşimli bir ters shell kurmaya çalışmaktadır. - UNC5221, web shell aracılığıyla KrustyLoader adlı Rust tabanlı kötü amaçlı yazılımı dağıtarak ikinci aşama payload’ları sağlamaktadır.
- UNC5174, web shell kullanarak SNOWLIGHT adlı bir loader indirmekte ve bununla birlikte VShell adlı Go tabanlı uzaktan erişim trojanını ve GOREVERSE adlı bir arka kapıyı indirip kurmaktadır.
Bu gözlemler, Çin kaynaklı APT grupların global ölçekte kritik altyapı ağlarına kalıcı erişim sağlama hedefinin sürdüğünü açıkça göstermektedir.
Yeni Zafiyetlerin Keşfi ve Güncellemeler
Mayıs 2025’te yapılan güncellemelerle ilgili daha fazla bilgi, Onapsis güvenlik firması tarafından sağlandı. Firma, saldırganların kamuya açık bilgileri kullanarak exploit yapma ve web shell’leri suistimal etme konusunda yoğun bir faaliyet gösterdiğini belirtti. Aynı zamanda, SAP NetWeaver Visual Composer Metadata Uploader bileşeninde CVE-2025-42999 (CVSS skoru: 9.1) olarak izlenen bir başka kritik zafiyetin keşfedildiği bildirildi. Bu zafiyet, yetkili bir kullanıcının güvensiz ya da kötü niyetli içerik yüklemesine olanak tanıyor.
Müşterilere Tavsiyeler
SAP NetWeaver kullanıcılarının, devam eden aktif istismarlar göz önüne alındığında, sistemlerini en kısa sürede en son versiyona güncellemeleri şiddetle önerilmektedir. Bu güncellemeler, yalnızca mevcut güvenlik açıklarını kapatmakla kalmayıp, aynı zamanda gelecekte benzer saldırılara karşı da bir koruma sağlayacaktır.
Sonuç olarak, SAP NetWeaver üzerindeki bu siber güvenlik açıkları ve Çin kaynaklı saldırılar, kurumsal altyapıların korunmasının ne denli önemli olduğunu bir kez daha gözler önüne serdi. Saldırganların yaygın etkiye sahip sistemleri hedef alması, global düzeyde güvenlik önlemlerinin artırılmasına olan gereksinimi de ortaya koymaktadır.
