SAP NetWeaver’da tespit edilen kritik bir güvenlik açığı, fidye yazılımı gruplarının da radarına girdi. Bu açıklık üzerinden yapılan saldırılar, sistemlerin uzaktan ele geçirilmesine neden olabiliyor.
RansomEXX ve BianLian Saldırılara Katıldı
Siber güvenlik şirketi ReliaQuest, SAP’nin 24 Nisan’da yayınladığı acil güvenlik yamasından önce CVE-2025-31324 kodlu açığın saldırganlar tarafından hedef alındığını duyurdu. Açık sayesinde, saldırganlar kimlik doğrulaması olmadan zararlı dosyalar yükleyebiliyor ve sistemleri tamamen ele geçirebiliyor.
ReliaQuest’in güncellediği rapora göre, RansomEXX ve BianLian fidye yazılımı grupları da bu saldırılara katıldı. Her ne kadar şu ana kadar fidye yazılımı yüklemesi başarıyla gerçekleşmemiş olsa da saldırıların tehlike boyutunun arttığı vurgulandı. Özellikle RansomEXX grubunun daha önce de kullandığı PipeMagic adlı arka kapıyı ve CVE-2025-29824 numaralı Windows açığını kullandığı belirtildi.
Şirket, BianLian grubunu daha önce komuta kontrol sunucusu olarak kullanılan IP adreslerinden biriyle ilişkilendirdi. Saldırıların zamanlaması ve kullanılan araçlar, fidye yazılımı gruplarının bu açığa özel ilgi gösterdiğini ortaya koyuyor.
Çin Bağlantılı APT Grupları Kritik Altyapıları Vuruyor
Forescout Vedere Labs, saldırıların arkasında Çin merkezli bir tehdit aktörü olan Chaya_004’ün de olduğunu açıkladı. EclecticIQ ise bu gruba ek olarak UNC5221, UNC5174 ve CL-STA-0048 adlı üç Çinli APT grubunun daha NetWeaver sistemlerini hedef aldığını bildirdi.
Forescout araştırmacıları, açıkta bırakılan bir sunucuda saldırganların sistemlere yerleştirdiği arka kapılara dair izlere ulaştı. Bulgulara göre, Birleşik Krallık, Amerika Birleşik Devletleri ve Suudi Arabistan’daki kritik altyapılar da dahil olmak üzere en az 581 SAP NetWeaver sistemi tehlikeye atıldı. Saldırganların 1.800 kadar başka alan adını hedef almayı planladığı da belirtildi. Uzmanlar, saldırganların bu sistemler üzerinden sanayi kontrol altyapılarına da erişim elde edebileceğini ve uzun vadeli casusluk faaliyetleriyle hizmet kesintisine neden olabileceklerini ifade etti.
SAP, fidye yazılımı gruplarının kullandığı başka bir güvenlik açığı olan CVE-2025-42999’u da 13 Mayıs’ta yamadı. Bu açık daha önce sıfır gün zafiyeti olarak mart ayında keşfedilmişti. Açık, saldırganların uzaktan komut çalıştırmasına imkân tanıyordu.
Uzmanlar, SAP sistem yöneticilerinin NetWeaver sunucularını en kısa sürede güncellemesini öneriyor. Güncelleme mümkün değilse Visual Composer servisi devre dışı bırakılmalı. Ayrıca meta veri yükleyicilerine erişim sınırlandırılmalı ve şüpheli aktiviteler yakından izlenmeli.
Amerikan Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2025-31324 açığını “Bilinen İstismar Edilen Güvenlik Açıkları” kataloğuna ekledi. Federal kurumların bu açığa karşı sistemlerini 20 Mayıs’a kadar güvence altına alması zorunlu hâle getirildi.
