SAP NetWeaver Güvenlik Açıkları ve Yeni Saldırı Yöntemi
Geçtiğimiz günlerde ortaya çıkan bir saldırı yöntemi, SAP NetWeaver platformundaki iki kritik güvenlik açığının bir araya getirilmesiyle gerçekleşiyor. Bu güvenlik açıkları, CVE-2025-31324 ve CVE-2025-42999 kodlarıyla tanımlanmış olup, hem sistemler için tehlike oluşturmakta hem de veri hırsızlığına yol açabilmektedir. Onapsis adlı SAP güvenlik şirketinin belirttiğine göre, bu açıklar artık yamanmış durumda. Ancak, bu açıklar istismar edilmeden önceki dönemde kötü niyetli kişiler tarafından sıfırıncı gün (zero-day) saldırılarıyla kullanılmıştır.
Güvenlik Açıklarının Detayları
CVE-2025-31324, SAP NetWeaver’ın Visual Composer geliştirme sunucusundaki yetkilendirme kontrolünün eksikliği ile ilgilidir ve CVSS puanı 10.0 olarak belirlenmiştir. Bu, açıkların ciddiyetini gözler önüne sermektedir. Diğer bir açıksa, CVE-2025-42999, SAP NetWeaver’ın Visual Composer sunucusundaki güvensiz serileştirme sorununu konu almakta ve 9.1 gibi yüksek bir CVSS puanına sahiptir. SAP, bu açıkları Nisan ve Mayıs 2025 tarihlerinde düzeltmiş olsa da, daha önce birçok siber saldırgan tarafından istismar edilmiştir.
Bu açıkların, Qilin, BianLian ve RansomExx gibi birçok ransomware ve veri zorbalığı grubu tarafından kullanıldığı bildirilmiştir. Ayrıca, çok sayıda Çin merkezli casusluk grup, bu açıkları kritik altyapı ağlarına saldırılarda kullanmayı başarmıştır.
Saldırı Zinciri ve Etkileri
Son günlerde vx-underground tarafından yayımlanan bilgilere göre, özellikle Scattered Lapsus$ Hunters adlı yeni bir gruptan, bu açıkları kullanarak saldırılar gerçekleştirilmiştir. Onapsis, “Bu saldırılar, yetkilendirme gerektirmeksizin hedef SAP sisteminde rastgele komutların yürütülmesine olanak tanıyor. Bu durum, uzaktan kod yürütme (RCE) ve etkilenen sistem ile SAP iş verilerine ve süreçlerine tamamen hakim olmayı mümkün kılar,” demektedir.
Saldırı zinciri, CVE-2025-31324 kullanılarak yetkilendirme aşamasını atlamayı ve kötü niyetli yükü sunucuya yüklemeyi içerir. Devamında ise, CVE-2025-42999 açığı suistimal edilerek yük, yükseltilmiş yetkilere sahip olarak yürütülmektedir. Bu tür saldırılarda, kötü niyetli kişiler yalnızca web kabukları (web shells) dağıtmakla kalmaz, ayrıca sistem üzerinde ek dosyalar bırakmadan yaşam alanında kalma (living-off-the-land) saldırılarını da gerçekleştirebilmektedir.
Korunma Yöntemleri
Onapsis, bu güvenlik açıklarının, bilgisinin büyük bir kısmını SAP uygulamalarında edindikleri bilinen tehdit aktörleri tarafından kullanıldığını ifade etmektedir. SAP kullanıcılarının, en son güncellemeleri uygulamalarını, internet üzerinden SAP uygulamalarına erişimi gözden geçirmelerini ve kısıtlamalarını önermektedir. Ayrıca, SAP uygulamalarında herhangi bir kompromi (bozulma) belirtisi için sürekli izleme yapmaları gerektiği de belirtilmektedir.
Bunun yanı sıra, kullanıcıların SAP sistemlerine olan erişimlerini sınırlamaları, güvenlik yazılımlarını güncel tutmaları ve önleyici tedbirler almak gibi adımlar atması son derece önemlidir. Unutulmamalıdır ki, bu tür güvenlik açıkları yalnızca kurumsal sistemleri tehdit etmekle kalmaz, aynı zamanda müşteri verilerini de ciddi şekilde riske atmaktadır.
İleri Düzey Güvenlik Önlemleri
SAP kullanıcıları, sistemlerini korumak için güvenlik duvarları, saldırı tespit sistemleri (IDS) ve saldırı önleme sistemleri (IPS) gibi teknolojileri entegre edebilirler. Ayrıca, düzenli güvenlik denetimleri ve penetrasyon testleri yapmak, potansiyel savunmasız noktaların belirlenmesi açısından kritik öneme sahiptir. Kişisel ve kurumsal verilerin korunması, günümüzde daha fazla önem kazanmıştır.
Sonuç olarak, SAP NetWeaver üzerindeki güvenlik açıkları, ciddi tehditler oluşturmakta ve zamanında müdahale edilmediği takdirde büyük sorunlara yol açabilmektedir. Bu nedenle, kullanıcıların güvenlik bilincini artırmaları ve gerekli önlemleri almaları, verilerin güvenliği açısından hayati öneme sahiptir.
