1.200’den Fazla SAP NetWeaver Sunucusu Kritik Açık Nedeniyle Tehlikede
SAP NetWeaver platformunda tespit edilen ve şu anda aktif olarak kötüye kullanılan kritik bir güvenlik açığı, dünya genelinde 1.200’den fazla sunucuyu tehdit ediyor. CVE-2025-31324 olarak tanımlanan bu açık, saldırganların herhangi bir kimlik doğrulamasına ihtiyaç duymadan sunucuya zararlı dosyalar yükleyerek tam yetki elde etmesine olanak tanıyor.
SAP NetWeaver’daki Açık, Tüm Sistemin Ele Geçirilmesine Neden Olabilir
SAP NetWeaver, hem SAP hem de SAP dışı uygulamaları çalıştırmak ve entegre etmek için kullanılan bir uygulama sunucusu ve geliştirme platformu. Açık, özellikle Visual Composer bileşeni içinde yer alan Metadata Uploader kısmında bulunuyor.
Saldırganlar, bu açığı kullanarak sunucuya web shell yükleyebiliyor. Birçok siber güvenlik firması (ReliaQuest, watchTowr ve Onapsis) bu açığın saldırılarda aktif olarak kullanıldığını doğruladı.
SAP, açığı 8 Nisan 2024’te bir geçici çözümle duyurdu, ardından 25 Nisan 2024’te CVE-2025-31324 için resmi güvenlik yamasını yayınladı. SAP, henüz bu saldırıların müşteri verilerine ya da sistemlerine zarar verdiğine dair bir bulgu olmadığını belirtiyor. Shadowserver Vakfı’nın analizine göre dünya genelinde 427 SAP NetWeaver sunucusu doğrudan internete açık durumda. En çok etkilenen ülkeler:
- ABD: 149
- Hindistan: 50
- Avustralya: 37
- Çin: 31
- Almanya: 30
- Hollanda: 13
- Brezilya ve Fransa: 10’ar adet
Ancak siber güvenlik arama motoru Onyphe, durumun daha da kötü olduğunu bildiriyor. Onlara göre 1.284 sistem savunmasız durumda ve bunlardan 474’üne halihazırda web shell yüklenmiş. Üstelik bu sistemler arasında yaklaşık 20 küresel Fortune 500 şirketine ait sunucular da yer alıyor.
Saldırganlar genellikle cache.jsp, helper.jsp gibi isimleri kullanıyor. Ancak Nextron Research, saldırganların aynı zamanda rastgele isimler kullanarak tespit edilmekten kaçındığını belirtiyor. Güvenlik güncellemesini uygulayamayan kurumlar için önerilen önlemler şunlar:
/developmentserver/metadatauploaderuç noktasına erişimi sınırlandırın.- Visual Composer kullanılmıyorsa devre dışı bırakın.
- Log kayıtlarını SIEM sistemine yönlendirin ve servlet yolundaki izinsiz dosyaları tarayın.
RedRays firması, CVE-2025-31324 için geniş çaplı taramalarda kullanılabilecek bir güvenlik açığı tarayıcısı da yayınladı.
SAP NetWeaver’da ortaya çıkan kritik güvenlik açığı, özellikle büyük ölçekli kurumları hedef alan ciddi bir tehdit oluşturuyor. Güncelleme yapılmayan sistemler, saldırganlar tarafından kolayca ele geçirilebilir. Tüm kullanıcıların en kısa sürede ilgili güvenlik yamasını uygulaması ve sistemlerini denetlemesi hayati önem taşıyor.
