SAP NetWeaver Açıklarından Yararlanan Saldırılar
Siber güvenlik alanında yaşanan yenilikler ve tehditler sürekli gelişiyor. Son zamanlarda, ABD merkezli bir kimya şirketine yönelik yapılan siber saldırılar, kritik öneme sahip bir SAP NetWeaver açığının kötüye kullanılmasıyla gerçekleşti. Bu olayda, CVE-2025-31324 olarak takip edilen bir güvenlik açığı, saldırganlar tarafından kullanıldı ve Auto-Color Linux zararlısının dağıtılmasına yol açtı.
Olayın Keşfi ve Gelişmeler
Darktrace isimli siber güvenlik firması, bu saldırıyı Nisan 2025’te bir olay müdahalesi sırasında tespit etti. Yapılan araştırmalar, Auto-Color zararlısının gelişerek yeni ileri düzey kaçış taktiklerini içerecek şekilde evrim geçirdiğini ortaya koydu. Saldırının başlangıcı 25 Nisan tarihinde gerçekleşti, ancak aktif kötüye kullanım iki gün sonra başladı ve hedef makineye bir ELF (Linux yürütülebilir) dosyasının yüklenmesine neden oldu.
Palo Alto Networks’ün Unit 42 araştırmacıları, Auto-Color zararlısını Şubat 2025’te ilk kez belgeleyerek, zararlının kaçıcı doğası ve bir makinede kök saldıktan sonra ortadan kaldırılmasının zorluğunu vurguladılar.
Auto-Color Zararlısının Özellikleri
Auto-Color, çalıştığı kullanıcı yetki seviyesine göre davranışını ayarlayabilen bir arka kapıya sahiptir. ‘ld.so.preload’ mekanizmasını kullanarak paylaşılan nesne enjeksiyonu yoluyla gizli kalmasına olanak tanır. Bu zararlı, rasgele komut yürütme, dosya değiştirme, tam uzaktan erişim için ters kabuk (reverse shell) oluşturma, proxy trafiğini yönlendirme ve dinamik yapılandırma güncellemeleri gibi yetenekler içerir. Ayrıca, zararlı faaliyetlerini güvenlik araçlarından gizlemek için bir rootkit modülüne sahiptir.
Unit 42, gözlemledikleri saldırılarda başlangıç enfeksiyon vektörünü tespit edemedi. Bu saldırılar, Kuzey Amerika ve Asya’daki üniversiteleri ve devlet kuruluşlarını hedef alıyordu. Darktrace‘in son araştırmalarına göre, Auto-Color zararlısının arkasındaki tehdit aktörleri, CVE-2025-31324 güvenlik açığını kullanarak kimlik doğrulaması olmayan saldırganların uzaktan kod çalıştırmasına (RCE) olanak sağlayan kritik bir açığı kötüye kullanıyor.
Olayın Zaman Çizelgesi
Olayın zamanlaması, saldırının nasıl geliştiğini gözler önüne seriyor. SAP, bu açığı Nisan 2025‘te düzeltmesine rağmen, güvenlik firmaları ReliaQuest, Onapsis ve watchTowr etkin kötüye kullanım girişimlerini rapor etti. Bu girişimler, birkaç gün sonra yoğunlaştı. Mayıs ayında ise fidye yazılımı aktörleri ve Çin devlet hacker’ları etkinliğe katıldı. Mandiant, en azından Mart 2025 ortalarından bu yana CVE-2025-31324 için sıfır gün kötüye kullanımına dair kanıtlar ortaya çıkardı.
Yeni Kaçış Önlemleri ve Gizlilik Teknikleri
Darktrace, Auto-Color’un son versiyonunda uygulanan yeni bir kaçış önlemi keşfetti. Eğer Auto-Color, sabit kodlanmış Komut ve Kontrol (C2) sunucusuna bağlanamazsa, kötü niyetli davranışlarının çoğunu baskılar. Bu, sanal ortamlar ve hava boşluklu ortamlarda geçerlidir; bu durum, zararlının analistlere masum görünmesini sağlar. Darktrace’ın açıklamasına göre, “C2 sunucusu ulaşılamaz hale gelirse, Auto-Color etkili bir şekilde durur ve tam kötü niyetli işlevselliğini dağıtmaz.”
Bu davranış, ters mühendislik çabalarının zararlının yüklerini, kimlik bilgisi toplama mekanizmalarını veya kalıcılık tekniklerini ifşa etmesini engeller. Ayrıca, bu durum daha önce Unit 42 tarafından belgelenmiş özelliklerin üstüne gelmektedir. Bunlar arasında, yetki farkı göz önünde bulundurularak execute mantığı, masum dosya adları kullanma, libc fonksiyonlarını yakalama, sahte günlük dizini kullanma, TLS üzerinden C2 bağlantıları kurma ve her bir örnek için benzersiz hashler üretme bulunmaktadır.
Sonuç Olarak Yapılması Gerekenler
Auto-Color’un CVE-2025-31324 güvenlik açığını aktif bir şekilde kötüye kullanması, yönetici olarak sapmaları önlemek için acil önlemler almanız gerektiğini gösteriyor. SAP’in müşteri özelinde sağladığı güvenlik güncellemelerini veya önlemlerini uygulayarak sistemlerinizi korumanız büyük bir önem taşıyor. Bu tür gelişmeler, iş dünyasında güvenliği artırmak için sürekli olarak takip edilmelidir.
