SAP’da Yeni Bir Güvenlik Açığı: CVE-2025-42999
SAP, SAP NetWeaver sunucularını hedef alan son saldırılarda istismar edilen ikinci bir güvenlik açığı için yamanlar yayınladı. Bu açık, CVE-2025-42999 olarak adlandırılmakta ve 12 Mayıs Pazartesi günü güvenlik güncellemeleri ile birlikte ortaya çıktı. SAP, bu açığın, başka bir kimlik doğrulaması gerektirmeyen dosya yükleme açığına dair yapılan araştırmalar sırasında keşfedildiğini belirtti. Bu açığın CVE-2025-31324 kodu ile takip edildiği ve Nisan ayında düzeltildiği bildirilmektedir.
SAP sözcüsü, "SAP, SAP NetWeaver Visual Composer’daki güvenlik açıklarını fark ediyor ve bunlarla ilgileniyor," dedi. Müşterilerin bu yamaları yüklemesi gerektiğini vurguladı. Daha fazla bilgi için SAP’nin Güvenlik Notları’nın buradan erişilebileceği belirtildi: 3594142 & 3604119.
Saldırıların Kaynağı: Tehdit Aktörlerinin Faaliyetleri
ReliaQuest, CVE-2025-31324 koduyla takip edilen açığın kullanımına dair Nisan ayında saldırıları tespit etti. Bu süreçte tehdit aktörleri, kullanıcıların sistemlerine izinsiz dosya yüklemeleri aracılığıyla erişim sağladı. Elde ettikleri yetkiyle JSP web shell’lerini kamu dizinlerine yüklediler ve Brute Ratel kırmızı takım aracını kullandılar. Hedeflenen sistemlerin tamamen yamanmış olması, saldırganların bir sıfır-gün açığını kullandığını gösteriyor.
Güvenlik firmaları watchTowr ve Onapsis de bu kötü niyetli faaliyetleri doğruladı. Bu firmalar, yamanmamış açıkları olan sistemlerde saldırganların web shell arka kapıları yüklediğini gözlemlediler. Forescout’un Vedere Labs ekibi, bu saldırılardan bazılarının takip ettikleri Çin kökenli tehdit aktörü Chaya_004 ile bağlantılı olduğunu ortaya koydu.
Onyphe CTO’su Patrice Auffret, Nisan ayının sonlarında BleepingComputer’a verdiği röportajda, "20 kadar Fortune 500/Global 500 şirketinin etkilenme riski bulunuyor ve bunlar arasında birçok komprova durumu var," şeklinde bir açıklama yaptı. Bu süreçte, internette 1,284 süper açık sistemin bulunduğunu ve bunlardan 474’ünün zaten etkilenmiş olduğunu ekledi.
Shadowserver Foundation, artık internette 2040’tan fazla SAP NetWeaver sunucusunun açık olduğunu ve bu sunucuların saldırılara karşı savunmasız olduğunu takip ediyor.
Yeni Açığın Saldırılarda Kullanımı
SAP, CVE-2025-42999 açığının doğrudan kullanıldığını doğrulamasa da Onapsis CTO’su Juan Pablo Perez-Etchegoyen, tehdit aktörlerinin her iki açığı da kullanarak saldırılar düzenlediğini belirtti. "Mart 2025’te gözlemlediğimiz saldırılar, aslında Ocak 2025’te başlayan temel kanıtlarla başlamıştı," dedi. CVE-2025-31324 koduyla listelenen kimlik doğrulaması eksikliği ile CVE-2025-42999 kodlu güvensiz deseralizasyon açıklarının bu saldırılarda beraber kullanıldığını ifade etti.
Perez-Etchegoyen, "Bu kombinasyon, saldırganların sistemde herhangi bir yetki olmaksızın uzaktan rastgele komutlar çalıştırmalarına izin verdi," diyerek açıkların kapsayıcı etkilerine dikkat çekti. Bu tür durumlar, yalnızca VisualComposerUser rolüne sahip kullanıcılar tarafından istismar edilebilen bir deseralizasyon açığı bırakmaktadır.
Öneriler ve Güvenlik Önlemleri
SAP yöneticilerinin derhal NetWeaver örneklerini yama yapmaları ve mümkünse Visual Composer hizmetini devre dışı bırakmaları önerilmektedir. Ayrıca, metadata yükleme hizmetlerine erişimi kısıtlamaları ve sunucularında şüpheli faaliyetleri izlemeleri gerekmektedir. Bu tür açıkların sıklıkla kötü niyetli siber aktörler için bir saldırı vektörü olduğunu ve federal kuruluşlar için önemli riskler taşıdığını hatırlatan CISA, CVE-2025-31324 açığını Bilinen İstismar Edilen Açıklar Kataloğu’na ekleyerek 20 Mayıs’a kadar federal ajansların sistemlerini güvence altına almasını talep etmiştir.
Sonuç olarak, SAP NetWeaver sunucularında meydana gelen bu güvenlik açıkları, şirketlerin siber güvenlik stratejilerini gözden geçirmeleri gerektiğini göstermektedir. Müşterilerin bu tür güncellemeleri takip ederek sistem güvenliklerini artırmaları elzemdir.
