Ransomware Çetelerinin SAP NetWeaver Saldırıları
Son dönemde, ransomware (fidye yazılım) çeteleri, SAP NetWeaver sistemlerini hedef alarak saldırılarını artırdı. Bu saldırılar, özellikle uzaktan kod çalıştırma (remote code execution) imkanı sunan yüksek riskli bir zafiyeti istismar ediyor. SAP, 24 Nisan’da bu ciddi güvenlik açığını (CVE-2025-31324) kapatan acil yamalar yayımladı. Bu zafiyet, kötü niyetli aktörlerin herhangi bir oturum açma bilgisi olmadan zararlı dosyalar yükleyebilmesini sağlıyor ki bu da sistemin tamamen ele geçirilmesine yol açabiliyor.
Ransomware Çeteleriyle İlgili Güncellemeler
ReliaQuest adlı siber güvenlik şirketi, yaptığı güncellemelerle RansomEXX ve BianLian ransomware operasyonlarının da bu saldırılara katıldığını açıkladı. Şirket, "Devam eden analizler, Rus ransomware grubu BianLian ve RansomEXX ransomware ailesinin operatörlerinin bu saldırılara dahil olduğunu gösteren kanıtlar ortaya çıkardı," şeklinde bir açıklama yaptı. Ayrıca bu durumu, birçok tehdit grubunun bu açığı istismar etme konusundaki geniş ilgisi ile ilişkilendirdi.
BianLian grubu, geçmişteki bir komut ve kontrol (C2) sunucusunu barındırmak için kullanılan bir IP adresine dayanarak, bu saldırılardan en az birine "orta düzeyde güvenle" bağlandı. RansomEXX saldırılarında ise, çete, PipeMagic modüler arka kapısını (backdoor) kullanarak CVE-2025-29824 Windows CLFS zafiyetini istismar etti.
Diğer Tehditler ve Çinli Hacking Grupları
Forescout Vedere Labs güvenlik araştırmacıları, bu saldırıları Chaya_004 olarak adlandırdıkları Çin kökenli bir tehdit aktörüyle ilişkilendirdi. Ayrıca EclecticIQ, üç başka Çin APT grubunun (UNC5221, UNC5174 ve CL-STA-0048) da CVE-2025-31324’e karşı yamanmamış NetWeaver örneklerini hedeflediğini bildirdi.
Forescout’un araştırmaları, bu saldırganların en az 581 SAP NetWeaver sistemine arka kapı açtığını ve başka 1,800 domaini hedef almaya hazırlandığını gösteriyor. "Bu sistemlere kalıcı arka kapı erişimi, Çin ile ilişkili APT’ler için bir ayak sağlayarak, Çin Halk Cumhuriyeti’nin (PRC) askeri, istihbari veya ekonomik avantaj sağlama amaçlarına yönelik stratejik hedefleri gerçekleştirmesine olanak tanıyabilir," açıklaması yapıldı.
SAP Sistemlerinin Tehditleri ve Önlemler
SAP sistemlerinin, endüstriyel kontrol sisteminin (ICS) iç ağıyla yüksek derecede bağlantılı olduğu belirtiliyor. Bu durum, yan hareket (lateral movement) risklerini artırarak uzun vadeli istihbarat için hizmet kesintisi yaratabilir. SAP, bu saldırılara bağlı olarak, ikinci bir NetWeaver zafiyetini (CVE-2025-42999) de bu hafta yamadı. Bu zafiyet, Mart ayında gündeme gelmiş ve uzaktan rastgele komutlar çalıştırılmasına olanak tanımaktaydı.
SAP yöneticilerinin sistemlerine yönelik saldırıları engellemek için NetWeaver sunucularını hemen güncellemeleri veya bir güncelleme mümkün değilse Visual Composer hizmetini devre dışı bırakmaları önerilmektedir. Ayrıca, metadata yükleyici hizmetlerine erişimi kısıtlamak ve sunucularında şüpheli aktiviteyi izlemek de son derece tavsiye edilmektedir.
CISA ve Zafiyet Yönetimi
Geçtiğimiz haftalarda, CISA, CVE-2025-31324 açığını Bilinen İstismar Edilmiş Zafiyetler Kataloğu’na ekledi. Federal ajansların, 20 Mayıs’a kadar sunucularını güvence altına almalarını zorunlu kılan bir yönlendirme (BOD 22-01) ile birlikte bu zafiyetin ciddiyeti vurgulandı.
Hayati önem taşıyan kurumsal sistemlerde güvenlik önlemleri almak, yalnızca bir zorunluluk değil, aynı zamanda siber güvenlik açısından hayati bir gerekliliktir. Gelişmiş saldırı vektörlerine karşı sürekli olarak güncellenen savunma mekanizmaları inşa etmek, modern kurumların siber güvenlik postürü için kritik derece önem arz etmektedir.
Bu bağlamda, SAP kullanıcılarının, sistemlerini daima güncel tutmaları ve güvenlik yamanmalarını zamanında uygulamaları, olası zararlara karşı önemli bir önlem olacaktır.
