أثارت هجمات إلكترونية جديدة قلق الشركات والمؤسسات الحكومية حول العالم، حيث تم الكشف عن استغلال مجموعة تهديد مرتبطة بالصين تُعرف باسم Chaya_004 لثغرة حرجة في SAP NetWeaver، وهي منصة تُستخدم على نطاق واسع لإدارة الأعمال والبيانات.
تفاصيل الثغرة الأمنية (CVE-2025-31324)
تم تصنيف الثغرة على أنها **حرجة** حيث تسمح للمهاجمين بتنفيذ تعليمات برمجية عن بُعد عبر رفع ملفات web shells إلى الأنظمة المستهدفة. بدأ استغلال هذه الثغرة منذ 29 أبريل 2025، حيث لوحظت عدة محاولات ناجحة لاختراق الأنظمة.
كيف تتم عملية الهجوم؟
يستغل المهاجمون نقاط ضعف في metadata uploader، وهو مكون يسمح برفع البيانات والملفات إلى أنظمة SAP. بمجرد استغلاله، يتم تنفيذ أكواد ضارة تتيح الوصول الكامل للأنظمة المخترقة.
الأدوات الضارة المستخدمة
- SuperShell – غلاف عكسي مستند إلى Golang يستخدم لتأمين الاتصالات الخفية.
- Cobalt Strike – أداة اختبار الاختراق التي تُستخدم لتشغيل أوامر عن بُعد.
- SoftEther VPN – خدمة VPN تُستخدم لإخفاء حركة المرور وتنفيذ عمليات الاختراق بسرية.
- GO Simple Tunnel – أداة تُستخدم لتوجيه الاتصالات المشفرة عبر الأنظمة.
التداعيات على المؤسسات والشركات
يهدد هذا النوع من الهجمات المؤسسات التي تعتمد على أنظمة SAP في تشغيل عملياتها اليومية. تشمل الأهداف المحتملة القطاعات الحيوية مثل الطاقة، التصنيع، الإعلام، والجهات الحكومية، مما يزيد من خطورة الهجوم وتأثيره العالمي.
توصيات الحماية
- تطبيق التصحيحات الأمنية فورًا لضمان عدم استغلال الثغرة.
- تقييد الوصول إلى نقطة metadata uploader لتجنب الاختراق.
- تعطيل خدمة Visual Composer إذا لم تكن ضرورية.
- مراقبة أي نشاط مشبوه عبر أنظمة المراقبة الأمنية المتقدمة.
الخلاصة
الهجمات الإلكترونية مستمرة في التطور، مما يتطلب من الشركات اتخاذ تدابير قوية لحماية بياناتها وأنظمتها. إن الكشف عن هذه الثغرة وإجراءات الحماية السريعة يمكن أن تكون العامل الأساسي في منع أي خسائر فادحة.
