آسیب‌پذیری‌های روزصفر یا Zero-Day، نقص‌هایی در نرم‌افزار هستند که توسط توسعه‌دهنده هنوز شناسایی یا رفع نشده‌اند و مهاجمان پیش از انتشار پچ رسمی از آن‌ها سوءاستفاده می‌کنند.
در آوریل ۲۰۲۵، SAP NetWeaver به یک نقص بحرانی با شناسه CVE-2025-31324  برخورد که امکان اجرای کد از راه دور (RCE) را بدون احراز هویت فراهم می‌کرد. این یعنی مهاجم می‌تواند از هر جای دنیا و بدون داشتن حساب کاربری، کنترل سرور SAP را به دست بگیرد.

دلیل اهمیت این آسیب پذیری چیست؟

۱. اجرای کد از راه دور (RCE)

RCE  به این معنی است که مهاجم می‌تواند دستورات دلخواه خود را روی سرور قربانی اجرا کند، همانند اینکه پشت سیستم فیزیکی نشسته باشد.
در مورد CVE-2025-31324، مهاجم می‌تواند وب‌شل‌های JSP (فایل‌هایی که به سرور اجازه می‌دهند دستورات دلخواه اجرا شوند) بارگذاری کند و کنترل کامل سرور را در دست گیرد.

۲. آسیب‌پذیری بدون نیاز به احراز هویت

این نقص به مهاجم اجازه می‌دهد بدون داشتن نام کاربری یا رمز عبور، اقدام به حمله کند. این نوع آسیب‌پذیری‌ها بسیار خطرناک هستند، زیرا سد دفاعی ابتدایی (لاگین) وجود ندارد و هر کسی می‌تواند به راحتی به سیستم دسترسی پیدا کند.

۳. فعالیت‌های reconnaissance و حملات واقعی

از ژانویه ۲۰۲۵ تلاش‌های شناسایی (reconnaissance) برای کشف سیستم‌های آسیب‌پذیر شروع شد و سپس از مارچ ۲۰۲۵، حملات واقعی با بارگذاری وب‌شل شناسایی شد.

۴. اهداف صنعتی و گروه‌های تهدید

الف . صنایع حساس هدف

آسیب‌پذیری CVE-2025-31324  بیشتر سازمان‌هایی را هدف قرار داده که زیرساخت‌های حیاتی و اطلاعات حساس دارند. این صنایع شامل موارد زیر هستند:

◾ انرژی، نفت و گاز: سیستم‌های صنعتی این حوزه معمولاً از SAP برای مدیریت زنجیره تأمین، تدارکات و نگهداری تجهیزات استفاده می‌کنند. کنترل سرورهای SAP می‌تواند به مهاجم اجازه دهد اطلاعات محرمانه، نقشه‌های عملیاتی یا داده‌های مالی را سرقت کند یا حتی سیستم‌های کنترل صنعتی (ICS) را مختل کند.

◾ داروسازی: شرکت‌های دارویی از SAP برای مدیریت تولید، توزیع و داده‌های تحقیقاتی استفاده می‌کنند. نفوذ به این سیستم‌ها می‌تواند منجر به سرقت فرمول‌ها، اختلال در زنجیره تأمین دارو و آسیب به ایمنی بیماران شود.

◾ رسانه و ارتباطات: دسترسی به سرورهای SAP در این صنایع می‌تواند به سرقت داده‌های حساس، کنترل سیستم‌های نشر یا تغییر محتوای رسانه‌ای منجر شود.

◾ نهادهای دولتی: داده‌های محرمانه، اطلاعات هویتی شهروندان و سیستم‌های داخلی دولت می‌توانند هدف حمله باشند. دسترسی مهاجم به SAP می‌تواند امنیت ملی را به خطر بیندازد.

۲. گروه‌های تهدید (APT و باج‌افزارها)

 ◾APT  با وابستگی چینی: گروه‌های تهدید پیشرفته که معمولاً با حمایت دولتی فعالیت می‌کنند، به دنبال اطلاعات حساس، فناوری‌ها و دارایی‌های استراتژیک هستند. این گروه‌ها از آسیب‌پذیری‌ها مانند CVE-2025-31324  برای نفوذ مخفیانه و مداوم استفاده می‌کنند و هدفشان اغلب جمع‌آوری اطلاعات یا ایجاد اختلال در صنایع حیاتی است.

◾ باج‌افزار Qilin : باج‌افزارها معمولاً پس از نفوذ به سیستم، داده‌ها را رمزگذاری و برای بازگرداندن آن‌ها درخواست باج می‌کنند. Qilin پیش از انتشار پچ رسمی از این آسیب‌پذیری استفاده کرد تا به شبکه‌های صنعتی و سازمان‌های حساس نفوذ کند و این نشان می‌دهد که مهاجمان برای سوءاستفاده سریع آماده بوده‌اند.

۳. دلایل هدف‌گیری این صنایع

1. داده‌های با ارزش و حساس: اطلاعات مالی، علمی و عملیاتی این صنایع ارزش بالایی دارد و می‌تواند در بازار سیاه یا برای باج‌گیری مورد سوءاستفاده قرار گیرد.

2. زیرساخت‌های حیاتی: هرگونه اختلال می‌تواند پیامدهای اقتصادی یا امنیتی جدی داشته باشد.

3. وابستگی به SAP : این صنایع به شدت از SAP برای عملیات روزانه و مدیریت داده‌ها استفاده می‌کنند، بنابراین آسیب‌پذیری‌های NetWeaver آن‌ها را به اهداف جذابی برای مهاجمان تبدیل می‌کند.

🛡 واکنش‌ها و Patchها

۱. انتشار پچ اضطراری توسط SAP

SAP  در ۲۴ آوریل ۲۰۲۵ پچ اضطراری برای آسیب‌پذیری CVE-2025-31324  منتشر کرد (: 3594142 & 3604119 Notes ) . این پچ شامل موارد زیر است:

◾اصلاح نقص دسترسی بدون احراز هویت: جلوگیری از امکان بارگذاری فایل‌های مخرب توسط مهاجمان خارجی.

◾ بهبود اعتبارسنجی Metadata Uploader : تضمین اینکه فایل‌های بارگذاری‌شده توسط Visual Composer بررسی امنیتی شوند و از اجرای کد مخرب جلوگیری شود.

◾ رفع آسیب‌پذیری‌های مرتبط: این پچ برخی آسیب‌پذیری‌های کوچک‌تر وابسته به همان ماژول را نیز اصلاح می‌کند تا مهاجمان نتوانند راه‌های جایگزین سوءاستفاده پیدا کنند.

⚠ نکته مهم: پچ‌های اضطراری معمولاً بدون اطلاع قبلی و با اولویت بالا منتشر می‌شوند، زیرا نقص در حال سوءاستفاده فعال است.

۲. آسیب‌پذیری دوم (CVE-2025-42999)

در می ۲۰۲۵، SAP نقص دیگری با شناسه CVE-2025-42999 را اصلاح کرد.
این نقص نیز مرتبط با ماژول Visual Composer بود و می‌توانست در ترکیب با CVE-2025-31324، مسیرهای جدید برای اجرای کد مخرب فراهم کند.
رفع این آسیب‌پذیری دوم، امنیت سیستم‌های NetWeaver را به شکل قابل توجهی افزایش داد.

۳. واکنش‌های سازمان‌های امنیتی (CISA و KEV)

CISA  این نقص را در لیست Known Exploited Vulnerabilities (KEV) قرار داده است.

KEV لیستی است از آسیب‌پذیری‌هایی که مورد سوءاستفاده فعال قرار گرفته‌اند و سازمان‌ها باید فوراً آن‌ها را برطرف کنند. سازمان‌های دولتی و خصوصی ملزم هستند پچ‌ها را تا ۲۰ می ۲۰۲۵ اعمال کنند، در غیر این صورت ممکن است تحت ریسک قانونی، جریمه یا نفوذ سایبری قرار گیرند.

۴. اهمیت اعمال سریع Patchها

◾ جلوگیری از سوءاستفاده فعال مهاجمان، از جمله APTها و باج‌افزار Qilin .

◾ کاهش ریسک نشت داده‌ها و اختلال در عملیات حیاتی.

◾ اطمینان از تطابق با چارچوب‌های امنیتی و الزامات قانونی.

🔍 توصیه‌های امنیتی فوری

1. اعمال پچ‌های رسمی SAP بدون تأخیر.

2. استفاده از ابزارهای ارزیابی و اسکن Onapsis و Mandiant برای شناسایی نشانه‌های نفوذ.

3. مانیتور کردن لاگ‌ها و ترافیک HTTP برای شناسایی الگوهای مشکوک بارگذاری فایل یا دستورات ناشناخته RCE .
4. آماده‌سازی تیم Incident Response برای شناسایی وب‌شل‌ها و تکنیک‌های Living-Off-The-Land.

نتیجه‌گیری

آسیب‌پذیری CVE-2025-31324 یک تهدید حیاتی برای هر سازمانی است که از SAP NetWeaver استفاده می‌کند. سوءاستفاده‌های فعال و گسترده نشان می‌دهد که هرگونه تأخیر در اعمال پچ‌ها می‌تواند منجر به نفوذ کامل به سیستم‌ها شود. سازمان‌ها باید بلافاصله اقدامات امنیتی و نظارت مستمر بر سیستم‌ها را در دستور کار قرار دهند.