SAP NetWeaver’de Aktif Olarak Sömürülen Bir Açıklık Var mı?
SAP NetWeaver’deki zafiyetin potansiyel etkileri nelerdir?
CVE-2025-31324 zafiyeti nasıl çalışıyor?
Kullanıcılar bu durumdan nasıl korunabilir?
Bu zafiyet ile ilgili güncellemeler nelerdir?
SAP NetWeaver’de Aktif Olarak Sömürülen Bir Açıklık Var mı?
Evet, SAP NetWeaver’de, CVE-2025-31324 kodu ile tanımlanan ve ciddi bir güvenlik açığı olarak kabul edilen bir zafiyet bulunmaktadır. Bu zafiyet, saldırganların kimlik doğrulaması olmadan zararlı dosyalar yüklemesine olanak tanıyan bir dosya yükleme açığıdır. Bu durum, uzaktan kod çalıştırılması ve sistemin tamamen ele geçirilmesine yol açabilir.
SAP NetWeaver’deki Zafiyetin Potansiyel Etkileri Nelerdir?
CVE-2025-31324 zafiyeti, SAP NetWeaver Visual Composer’daki Metadata Uploader bileşeninde görülmektedir. Saldırganlar, bu zafiyet aracılığıyla tehlikeli dosyaları, örneğin JSP webshell’leri, sistemdeki herkese açık dizinlere yükleyebilir. Bu tür yüklemeler, basit GET talepleri aracılığıyla uzaktan kod çalıştırılmasına ve komutların tarayıcıdan yürütülmesine olanak tanır. Sonuç olarak, saldırganlar sistem üzerinde tam kontrol elde edebilir.
CVE-2025-31324 Zafiyeti Nasıl Çalışıyor?
Bu açık, kullanıcıların sisteme giriş yapmadan zararlı dosyaları yüklemelerine izin vermektedir. Saldırganlar, bu zafiyeti kullanarak JSP dosyaları aracılığıyla komut çalıştırma, dosya yönetimi ve daha fazlasını gerçekleştirme imkânına sahiptir. Raporlar, ReliaQuest gibi güvenlik firmalarının, birçok müşteri sisteminin bu zafiyet nedeniyle ele geçirildiğini bildirdiğini ortaya koymaktadır.
Saldırganlar, sistemlerin tamamen yamanmış olmasına rağmen, bu tür bir saldırıya maruz kalmışlardır, bu da zafiyetin sıfır-gün exploit’i olduğunu göstermektedir. Saldırganlar, genellikle Brute Ratel gibi araçlar kullanarak sisteme girmekte ve Heaven’s Gate gibi tekniklerle güvenlik önlemlerini aşmaktadır.
Kullanıcılar Bu Durumdan Nasıl Korunabilir?
Kullanıcıların, bu tür açıklarla başa çıkabilmeleri için belirli önlemler almaları gerekmektedir. İlk olarak, /developmentserver/metadatauploader uç noktasına erişimin kısıtlanması önerilmektedir. Eğer Visual Composer kullanılmıyorsa, tamamen kapatılması da mantıklı bir seçenek olabilir. Kullanıcıların sistem loglarını SIEM sistemine yönlendirmesi ve servlet yolunda yetkisiz dosyaların taranması da önemli adımlar arasında yer alır.
ReliaQuest, zafiyetle ilgili daha derin bir ortam taraması yapılmasını ve şüpheli dosyaların silinmesini önermektedir. Bu, sistemin güvenliğini artıracak ve saldırı riskini minimize edecektir.
Bu Zafiyet ile İlgili Güncellemeler Nelerdir?
SAP, bu güvenlik açığını düzeltmek için acil bir güncelleme yayınlamıştır. Bu güncellemeler, mevcut tüm kullanıcıların sistemlerini güncelleyerek bu tür saldırılara karşı kendilerini korumalarını önerir. Özellikle, SAP Visual Composer Framework 7.50’yi etkileyen bu açık için en son yamanın uygulanması kritik öneme sahiptir. Güncelleştirmeler, CVE-2025-31324 dışında, iki ek kritik zafiyeti de düzeltmektedir: SAP S/4HANA’daki kod enjeksiyon açığı (CVE-2025-27429) ve SAP Landscape Transformation’daki kod enjeksiyon açığı (CVE-2025-31330).
SAP, kullanıcıların acil güncellemeleri uygulamaları gerektiğini birçok kez vurgulamaktadır. Yapılması gereken güncellemeleri uygulamayan kullanıcılar, halen bu açıkla karşı karşıyadır ve saldırganlar tarafından hedef alınma riskini taşımaktadır.
Sonuç olarak, hem bireysel kullanıcıların hem de kurumların bu açıktan etkilenebilmeleri için gerekli önlemleri almaları, güncellemeleri zamanında uygulamaları ve sistem güvenliğini sürekli gözden geçirmeleri çok önemlidir.
