Ancaman Siber – Kerentanan SAP Dieksploitasi oleh Pelaku Ancaman dari Tiongkok

Pendahuluan: Ancaman terhadap Sistem SAP

Sistem SAP adalah tulang punggung banyak organisasi di seluruh dunia, mengelola proses bisnis kritis seperti keuangan, logistik, dan rantai pasok. Namun, kerentanan kritis pada SAP NetWeaver Visual Composer, yang dikenal sebagai CVE-2025-31324, telah menjadi sasaran eksploitasi aktif di dunia nyata sejak akhir April 2025. Forescout Vedere Labs mengidentifikasi infrastruktur berbahaya yang kemungkinan besar dioperasikan oleh pelaku ancaman asal Tiongkok, yang mereka lacak sebagai Chaya_004. Kerentanan ini memungkinkan penyerang tanpa autentikasi untuk mengunggah web shell dan mendapatkan kendali penuh atas sistem yang rentan, mengancam sektor seperti manufaktur, energi, dan pemerintahan. Artikel ini merangkum temuan Forescout, taktik pelaku ancaman, dan langkah-langkah mitigasi untuk melindungi sistem SAP.

Apa Itu CVE-2025-31324?

CVE-2025-31324 adalah kerentanan deserialisasi kritis (skor CVSS 10.0) pada SAP NetWeaver Visual Composer 7.x, yang memungkinkan penyerang mengunggah file berbahaya, seperti web shell, melalui titik akhir “/developmentserver/metadatauploader” tanpa memerlukan autentikasi. Kerentanan ini pertama kali dilaporkan oleh ReliaQuest pada 22 April 2025, dengan SAP merilis tambalan darurat (emergency patch) pada 24 April 2025. Forescout mencatat aktivitas eksploitasi sejak 29 April 2025 melalui Adversary Engagement Environment (AEE) mereka, dan kerentanan ini ditambahkan ke katalog Known Exploited Vulnerabilities (KEV) CISA pada akhir April, dengan tenggat waktu mitigasi untuk instansi federal AS hingga 20 Mei 2025.

Eksploitasi aktif terdeteksi di berbagai industri, terutama manufaktur, di mana sistem SAP yang dikompromikan dapat menyebabkan gangguan operasional dan kebocoran data sensitif. Forescout mengamati 13 alamat IP unik yang mencoba mengeksploitasi kerentanan ini di jaringan pelanggan, berasal dari penyedia hosting seperti Scaleway (AS12876) dan Contabo (AS51167), yang sering disalahgunakan oleh pelaku ancaman.

Pelaku Ancaman: Chaya_004

Forescout melacak pelaku ancaman di balik eksploitasi ini sebagai Chaya_004, sebuah kelompok yang kemungkinan besar berbasis di Tiongkok berdasarkan infrastruktur dan alat yang digunakan. Infrastruktur berbahaya mereka dihosting di penyedia cloud Tiongkok seperti Alibaba, Tencent, dan Huawei, dengan alamat IP kunci (47.97.42.177) yang menampung web shell berbasis Go bernama SuperShell, dikembangkan oleh pembuat kode berbahasa Tiongkok “tdragon6”. Analisis lebih lanjut mengungkapkan bahwa IP ini juga memiliki sertifikat self-signed yang menyamar sebagai Cloudflare, menunjukkan upaya untuk menyamarkan aktivitas.

Chaya_004 menggunakan berbagai alat, termasuk:

• SuperShell: Reverse shell berbasis Go untuk akses jarak jauh.
• Cobalt Strike: Kerangka kerja post-exploitation untuk pergerakan lateral.
• SoftEther VPN: Alat untuk membangun koneksi terenkripsi.
• Alat Penetrasi Berbahasa Tiongkok: Seperti NPS, Asset Reconnaissance Lighthouse (ARL), dan GO Simple Tunnel.

Forescout juga menemukan file ELF bernama config pada IP yang sama, yang digunakan untuk mengoordinasikan serangan. Lebih dari 500 IP di 20 Autonomous System Numbers (ASN) dan 19 negara terkait infrastruktur ini, menunjukkan skala operasi yang luas. Menurut laporan, Chaya_004 telah mengkompromikan setidaknya 581 instansi SAP NetWeaver, termasuk infrastruktur kritis di AS, Inggris, dan Arab Saudi, dan berencana menargetkan 1.800 domain tambahan.

Gelombang Serangan dan Dampak

Eksploitasi CVE-2025-31324 terjadi dalam dua gelombang:

1. Gelombang Pertama (Januari–April 2025): Penyerang awal, kemungkinan initial access broker, mengunggah web shell seperti helper.jsp dan cache.jsp. Onapsis mencatat aktivitas pengintaian (reconnaissance) sejak 20 Januari, dengan percobaan eksploitasi mulai 10 Februari. Mandiant melaporkan serangan sejak pertengahan Maret, menggunakan Brute Ratel C4 untuk post-exploitation.
2. Gelombang Kedua (Pasca-April 2025): Penyerang oportunistik, termasuk Chaya_004, memanfaatkan web shell yang sudah ada untuk menyebarkan malware tambahan, seperti XMRig Coin Miner. Ransomware seperti BianLian dan RansomEXX juga terlibat, meskipun belum berhasil menyebarkan muatan (payload) ransomware.

Dampaknya signifikan, dengan ratusan sistem SAP di seluruh dunia dikompromikan, terutama di sektor manufaktur, energi, dan utilitas. Kompromi ini dapat menyebabkan gangguan operasional, pencurian data, dan pergerakan lateral ke sistem Industrial Control System (ICS), meningkatkan risiko spionase atau sabotase.

Taktik, Teknik, dan Prosedur (TTP)

Chaya_004 menunjukkan keahlian dalam arsitektur SAP, menggunakan permintaan HTTP yang dirancang khusus untuk mengeksploitasi titik akhir metadatauploader. Setelah mendapatkan akses, mereka menyebarkan web shell untuk mempertahankan persistensi, diikuti oleh alat seperti SuperShell untuk kendali jarak jauh. Infrastruktur mereka mencakup lebih dari 500 IP, banyak di antaranya dihosting di penyedia cloud Tiongkok, dan menggunakan alat penetrasi berbahasa Tiongkok untuk pengintaian dan eskalasi hak akses. Beberapa serangan juga melibatkan Tor exit nodes dan VPS untuk menyamarkan aktivitas.

Langkah Mitigasi

Forescout dan sumber lain merekomendasikan langkah-langkah berikut untuk melindungi sistem SAP:

1. Terapkan Tambalan Segera: SAP merilis tambalan untuk NetWeaver AS Java versi 7.50–7.52 pada April 2025. Organisasi harus segera memperbarui sistem mereka.
2. Batasi Akses ke Titik Akhir: Gunakan firewall atau SAP Web Dispatcher untuk membatasi akses ke “/developmentserver/metadatauploader” hanya untuk admin yang berwenang.
3. Nonaktifkan Visual Composer: Jika tidak diperlukan, nonaktifkan layanan Visual Composer untuk mengurangi permukaan serangan.
4. Pantau Aktivitas Mencurigakan: Terapkan pemantauan waktu nyata untuk mendeteksi akses atau perubahan di luar jadwal pemeliharaan.
5. Lakukan Penilaian Keamanan Reguler: Sertakan titik akhir SAP NetWeaver dalam pengujian penetrasi dan pemindaian kerentanan rutin.
6. Gunakan Solusi Keamanan: Platform Forescout seperti OT/eyeInspect, eyeFocus, dan eyeAlert telah diperbarui dengan logika deteksi untuk web shell dan permintaan POST berbahaya, diintegrasikan dengan intelijen ancaman dari Vedere Labs, Onapsis, dan Red Canary.

Respons Forescout dan Intelijen Ancaman

Forescout dengan cepat menyebarkan tindakan balasan di seluruh portofolio produk mereka:

• OT/eyeInspect: Mendeteksi unggahan file mencurigakan dan eksekusi web shell JSP.
• eyeFocus: Memberikan konteks kerentanan SAP pada tingkat aset.
• eyeAlert: Mengaktifkan peringatan waktu nyata dan integrasi dengan platform SIEM/SOAR untuk respons otomatis.

Indikator kompromi (IoC) seperti alamat IP (misalnya, 47.97.42.177) dan nama file web shell (helper.jsp, ssonkfrd.jsp) tersedia di umpan ancaman Vedere Labs. Organisasi juga dapat menggunakan pemindai sumber terbuka dari Mandiant dan Onapsis untuk mendeteksi IoC, meskipun hasil “bersih” tidak menjamin bebas dari intrusi karena penyerang canggih sering menghapus jejak mereka.

Kesimpulan

Kerentanan CVE-2025-31324 pada SAP NetWeaver Visual Composer adalah ancaman kritis yang dieksploitasi secara aktif oleh kelompok seperti Chaya_004, yang kemungkinan berbasis di Tiongkok. Dengan infrastruktur berbahaya yang luas dan alat canggih seperti SuperShell dan Cobalt Strike, pelaku ancaman ini telah mengkompromikan ratusan sistem SAP di seluruh dunia, menargetkan sektor kritis seperti manufaktur dan energi. Dampaknya melampaui gangguan operasional, dengan risiko spionase, pencurian data, dan pergerakan lateral ke sistem ICS. Organisasi harus segera menerapkan tambalan, membatasi akses, dan memantau aktivitas mencurigakan untuk mengurangi risiko. Dengan solusi seperti Forescout 4D Platform dan pedoman dari CISA, perusahaan dapat memperkuat pertahanan mereka terhadap ancaman siber yang terus berkembang ini.

Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Forescout menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.

Pelajari lebih lanjut di  forescout.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!