BianLian ve RansomExx, SAP NetWeaver Açığını Kullanarak PipeMagic Truva Atını Yaydı

Siber güvenlik firması ReliaQuest'in yeni raporuna göre, BianLian ve RansomExx (Microsoft tarafından Storm-2460 olarak izleniyor) adlı iki siber suç grubu, SAP NetWeaver'da yakın zamanda keşfedilen kritik bir güvenlik açığını (CVE-2025-31324) istismar ederek, PipeMagic adlı eklenti tabanlı bir truva atını hedef sistemlere dağıttı.

Açığın Detayları:

• CVE-2025-31324, SAP NetWeaver Visual Composer'ın Metadata Uploader bileşeninde bulunan ve kimlik doğrulama gerektirmeden kötü niyetli dosyaların yüklenmesine olanak tanıyan bir güvenlik açığıdır.

• Bu açık, saldırganların sistemde tam yetki elde etmelerine ve kötü amaçlı yazılımlar yüklemelerine imkan tanır.

Saldırıların Özeti:

• BianLian grubu, daha önce kendilerine atfedilen IP adresleriyle ilişkili altyapılar üzerinden saldırılar gerçekleştirdi.

• Saldırılar sırasında, PipeMagic truva atı ve Brute Ratel C2 framework'ü kullanıldı.

• Ayrıca, Windows Common Log File System'deki (CLFS) ayrıcalık yükseltme açığı (CVE-2025-29824) da istismar edildi.

Ek Bilgiler:

• EclecticIQ, Çin merkezli UNC5221, UNC5174 ve CL-STA-0048 gibi grupların da aynı açığı kullanarak çeşitli kötü amaçlı yazılımlar dağıttığını bildirdi.

• SAP güvenlik firması Onapsis, CVE-2025-31324'ün yanı sıra aynı bileşende bulunan CVE-2025-42999 adlı başka bir açığın da Mart 2025'ten bu yana istismar edildiğini belirtti.

SAP, bu açıkları gidermek için acil bir yama yayınladı ve kullanıcıların sistemlerini en kısa sürede güncellemeleri gerektiğini vurguladı.

Etiket: #SAP, #CVE202531324, #BianLian, #RansomExx, #PipeMagic, #BruteRatel, #SiberGüvenlik, #ZeroDay, #GüvenlikAçığı, #Yama

Kategori: Güvenlik Açıkları

Eklenme Tarihi: 15.05.2025