2025 Yılında SAP NetWeaver Açığıyla Gerçekleşen Siber Saldırı
2025 yılı, birçok şirket için siber güvenlik anlamında zorlu bir yıl oldu. Özellikle, SAP NetWeaver üzerinde keşfedilen ve gidermiş bir açık, kötü niyetli aktörler tarafından kullanılarak ciddi bir saldırıya yol açtı. Bu saldırı, Amerika Birleşik Devletleri merkezli bir kimya şirketini hedef aldı. Darktrace tarafından yayımlanan bir rapora göre, bu olay, 2025 yılının Nisan ayında gerçekleşti.
Tehdit Aktörlerinin Stratejileri
Kötü niyetli aktörler, üç gün boyunca hedef şirketin ağına erişim sağlamayı başardı. Bu süre zarfında, birkaç şüpheli dosya indirmeye çalıştılar ve Auto-Color adlı kötü amaçlı yazılıma bağlı zararlı altyapıyla iletişim kurdular. Darktrace’in raporunda belirtildiği üzere, bu açık, CVE-2025-31324 koduyla bilinen, uzaktan kod yürütme (RCE) yeteneğine sahip bir kimlik doğrulama gerektirmeyen dosya yükleme açığıydı. SAP, bu açığı Nisan ayında kapatmıştı, ancak saldırganlar bu pencereden faydalandılar.
Auto-Color Malware ve Özellikleri
Auto-Color, Palo Alto Networks’un Unit 42 tarafından Şubat 2025’te belgelenen bir kötü amaçlı yazılımdır. Bu yazılım, uzaktan erişim trojanı gibi çalışarak, tehlikeye atılmış Linux sistemlerine uzaktan erişim sağlıyor. Bu malware’ın, 2024 yılı Kasım ve Aralık aylarında Kuzey Amerika ve Asya’daki üniversiteleri ve devlet kuruluşlarını hedef alan saldırılarda da kullanıldığı gözlemlendi.
Elde edilen veriler, Auto-Color’un kötü niyetli davranışlarını gizlemek için komut ve kontrol (C2) sunucusuna bağlanamadığı takdirde kendini geri çektiğini göstermektedir. Bu durum, tehdit aktörlerinin fark edilmekten kaçınmak için bilinçli bir çaba içinde olduklarını ortaya koymaktadır. Yazılımın sunduğu yetenekler arasında ters shell, dosya oluşturma ve yürütme, sistem Proxy yapılandırması, küresel payload manipülasyonu, sistem profil oluşturma ve hatta kill switch tetiklendiğinde kendini silme gibi fonksiyonlar bulunmaktadır.
Saldırının Kronolojisi
Darktrace, 2025 yılının Nisan 28’inde, internetten erişim sağlayan muhtemel bir SAP NetWeaver sunucusunun üzerinde şüpheli bir ELF ikili dosyası indirildiği konusunda uyarı aldı. Ancak, ilk tarama faaliyetlerinin en azından üç gün önce başladığı belirtiliyor. Bu bağlamda, CVE-2025-31324’ün kullanılması sayesinde internetten erişim sağlayan cihaza bir ikinci aşama saldırı gerçekleştirildi ve bu süreçte Auto-Color malware’si temsil eden bir ELF dosyası indirildi.
Darktrace, saldırının her aşamasında, Auto-Color’un Linux iç yapıları hakkında bariz bir anlayış gösterdiğini ve tespit riskini azaltmak için hesaplı bir öz disiplin sergilediğini belirtti. Yani, kötü niyetli yazılım, sistemde daha fazla tahribata yol açmadan, sızma gerçekleştirmeye odaklanmış durumda.
Siber Güvenlikte Alınacak Önlemler
Bu tür saldırıların önüne geçmek için şirketlerin alması gereken bir dizi önlem bulunmaktadır. Öncelikle, yazılımların güncel tutulması büyük önem taşımaktadır. SAP gibi kritik sistemlerin açıklarının kapatılması için düzenli olarak güncellemelerin yapılması şarttır. Ayrıca, ağ üzerinde sürekli olarak sızma testleri gerçekleştirilmesi, olası tehditlerin zamanında tespit edilmesine yardımcı olacaktır.
Aşamalı güvenlik çözümleri, tehlikelerin daha etkili bir şekilde yönetilmesini sağlayabilir. Firewall ve izleme sistemleri ile beraber, anormal aktivitelere karşı hızlı yanıt verilmelidir. Özellikle, kullanıcı eğitimleri de büyük önem arz etmektedir. Çalışanların, güvenlik bilinci geliştirmeleri sağlanmalı ve siber saldırılara karşı duyarlı hale getirilmeleri gerekmektedir.
Son olarak, şirketlerin bir acil durum yönetim planı oluşturması, siber olaylar gerçekleştiğinde etkin bir şekilde yanıtlama kabiliyetini artırabilir. Bu tür hazırlıklar, güvenliğin sadece bir hedef değil, sürekli bir süreç olduğunu hatırlatmaktadır.
