Peneliti keamanan Forescout Vedere Labs telah mengaitkan serangan berkelanjutan yang menargetkan kerentanan keparahan maksimum yang berdampak pada instance SAP Netweaver dengan aktor ancaman Tiongkok.
GETAH merilis tambalan darurat di luar band pada 24 April untuk mengatasi cacat keamanan unggahan file yang tidak terautentikasi ini (dilacak sebagai CVE-2025-31324) di SAP Netweaver Visual Composer, Days After Cybersecurity Company Bindiast Pertama mendeteksi kerentanan yang ditargetkan dalam serangan.
Eksploitasi yang berhasil memungkinkan penyerang yang tidak aautentikasi untuk mengunggah file berbahaya tanpa masuk, memungkinkan mereka untuk mendapatkan eksekusi kode jarak jauh dan berpotensi mengarah pada kompromi sistem yang lengkap.
Reliaquest melaporkan bahwa beberapa sistem pelanggan dilanggar melalui unggahan file yang tidak sah di SAP Netweaver, dengan para aktor ancaman mengunggah peluru web JSP ke direktori publik, serta alat tim merah brute ratel dalam fase pasca eksploitasi serangan mereka. Server SAP Netweaver yang dikompromikan sepenuhnya ditambal, menunjukkan bahwa para penyerang menggunakan eksploitasi nol-hari.
Kegiatan eksploitasi ini juga dikonfirmasi oleh perusahaan cybersecurity lainnya, termasuk Watchtowr dan Onapsisyang juga mengkonfirmasi para penyerang mengunggah backdoors web pada contoh yang tidak ditambatkan yang diekspos secara online.
Mandiant juga diamati CVE-2025-31324 Serangan Zero-Day yang berasal dari setidaknya pertengahan Maret 2025, sementara Onapsis memperbarui laporan aslinya untuk mengatakan bahwa Honeypot pertama kali menangkap aktivitas pengintaian dan pengujian muatan sejak 20 Januari, dengan upaya eksploitasi mulai pada 10 Februari.
The Shadowserver Foundation sekarang Melacak 204 SAP Netweaver Server Terkena secara online dan rentan terhadap serangan CVE-2025-31324.
Onyphe CTO Patrice Auffret juga mengatakan kepada BleepingComputer pada akhir April bahwa “sesuatu seperti 20 Fortune 500/Global 500 perusahaan rentan, dan banyak dari mereka dikompromikan,” menambahkan bahwa pada saat itu, ada 1.284 contoh rentan yang diekspos secara online, 474 di antaranya sudah dikompromikan.
Serangan terkait dengan peretas Cina
Serangan yang lebih baru pada tanggal 29 April telah dikaitkan dengan aktor ancaman Cina yang dilacak oleh Forecout melihat lab sebagai chaya_004.
Serangan-serangan ini diluncurkan dari alamat IP menggunakan sertifikat yang ditandatangani sendiri secara anomali yang menyamar sebagai Cloudflare, banyak dari mereka milik penyedia cloud Cina (misalnya, Alibaba, Shenzhen Tencent, Huawei Cloud Service, dan China Unicom).
Penyerang juga mengerahkan alat berbahasa Cina selama pelanggaran, termasuk cangkang terbalik berbasis web (Supershell) yang dikembangkan oleh pengembang berbahasa Cina.
“Sebagai bagian dari investigasi kami terhadap eksploitasi aktif kerentanan ini, kami menemukan infrastruktur jahat yang kemungkinan termasuk dalam aktor ancaman Cina, yang saat ini kami lacak sebagai Chaya_004 – mengikuti konvensi kami untuk aktor ancaman yang tidak disebutkan namanya,” kata ForeScout.
“Infrastruktur mencakup jaringan server yang menampung Supershell Backdoors, sering kali digunakan pada penyedia cloud Cina, dan berbagai alat pengujian pena, banyak asal Cina.”
Admin SAP disarankan untuk segera menambal instance netweaver mereka, membatasi akses ke layanan pengunggah metadata, memantau aktivitas mencurigakan di server mereka, dan mempertimbangkan untuk menonaktifkan layanan komposer visual jika memungkinkan.
Cisa juga memiliki ditambahkan CVE-2025-31324 cacat keamanannya Katalog kerentanan yang diketahui Satu minggu yang lalu, memerintahkan agen federal AS untuk mengamankan sistem mereka terhadap serangan ini pada 20 Mei, seperti yang dipersyaratkan Binding Operational Directive (BOD) 22-01.
“Jenis -jenis kerentanan ini adalah vektor serangan yang sering untuk aktor cyber jahat dan menimbulkan risiko signifikan bagi perusahaan federal,” CISA memperingatkan.
