عامل تهدید چینی با نام Chaya_004 در حال سوءاستفاده از آسیبپذیری اجرای کد از راه دور (RCE) اخیراً افشا شده در SAP NetWeaver مشاهده شده است.
Forescout Vedere Labs، در گزارشی گفت: زیرساخت مخربی را کشف کرده که احتمالاً با گروه هکری که از 29 آوریل 2025 از CVE-2025-31324 (امتیاز CVSS: 10.0) سو استفاده میکند، مرتبط است. این نقص امنیتی حیاتی در SAP NetWeaver، به نفوذگران اجازه میدهد با بارگذاری وبشل مبتنی بر JSP از طریق نقطه پایانی حساس “developmentserver/metadatauploader/” به بارگذاری غیرمجاز فایل و اجرای کد از راه دور دست یابند. آسیبپذیری مذکور اولین بار توسط ReliaQuest در اواخر ماه گذشته شناسایی شد، زمانی که در حملات عوامل تهدید ناشناس برای دراپ وبشلها و چارچوب پس از بهرهبرداری Brute Ratel C4 مورد سوءاستفاده قرار میگیرد. بر اساس تایید watchTowr و Onapsis نیز، صدها سیستم SAP وصله نشده صنایع و مناطق جغرافیایی مختلف، قربانی حملات نفوذگرانی شدند که به بارگذاری دربپشتی وبشل در نمونههای وصله نشده و آنلاین اقدام کردند.
https://www.bleepingcomputer.com/news/security/chinese-hackers-behind-attacks-targeting-sap-netweaver-servers
https://thehackernews.com/2025/05/chinese-hackers-exploit-sap-rce-flaw.html
https://unit42.paloaltonetworks.com/threat-brief-sap-netweaver-cve-2025-31324
