Kamis, 5 Juni 2025 | 2 min read | Andhika R

Celah Keamanan SAP NetWeaver Dieksploitasi oleh Grup Siber BianLian dan RansomExx

Setidaknya dua grup kejahatan siber, BianLian dan RansomExx (alias Storm-2460 menurut Microsoft), dikonfirmasi telah mengeksploitasi kerentanan kritis dalam sistem SAP NetWeaver yang dilacak sebagai CVE-2025-31324.

Informasi ini diungkap oleh perusahaan keamanan siber ReliaQuest, yang menemukan bukti aktivitas dari kedua grup tersebut dalam serangkaian serangan yang menargetkan sistem SAP.

Dalam salah satu insiden yang ditelusuri, ReliaQuest menemukan server dengan alamat IP 184[.]174[.]96[.]74 yang menjalankan layanan reverse proxy melalui file eksekusi rs64.exe. Server ini terhubung dengan IP lain (184[.]174[.]96[.]70) yang sebelumnya diidentifikasi sebagai command-and-control (C2) milik grup BianLian, berdasarkan kesamaan sertifikat dan port.

Selain itu, trojan modular bernama PipeMagic juga terdeteksi digunakan dalam eksploitasi kerentanan zero-day lain, yaitu CVE-2025-29824, yang terdapat dalam Windows Common Log File System (CLFS). PipeMagic dikirim melalui web shell setelah sistem SAP NetWeaver berhasil disusupi.

Serangan lanjutan bahkan melibatkan kerangka kerja kontrol Brute Ratel C2, yang dijalankan menggunakan metode eksekusi inline MSBuild task. Selama aktivitas ini, proses dllhost.exe aktif, mengindikasikan eksploitasi terhadap kerentanan CLFS.

Baca Juga: Malware Baru “PupkinStealer” Ancam Privasi Pengguna Windows Global

Temuan ini muncul hanya sehari setelah firma keamanan EclecticIQ melaporkan bahwa beberapa grup peretasan asal Tiongkok — UNC5221, UNC5174, dan CL-STA-0048 — juga memanfaatkan celah CVE-2025-31324 untuk menyebarkan beragam payload berbahaya.

Perusahaan keamanan SAP, Onapsis, turut mengonfirmasi eksploitasi aktif terhadap CVE-2025-31324 dan menyebutkan adanya eksploitasi paralel terhadap kerentanan lain, yaitu CVE-2025-42999, sebuah celah deserialisasi yang berada di komponen yang sama.

ReliaQuest menekankan bahwa meskipun CVE-2025-42999 membutuhkan hak akses lebih tinggi untuk dieksploitasi, CVE-2025-31324 dapat memberikan akses penuh ke sistem, bahkan bagi pengguna yang tidak terautentikasi.

“Tidak ada perbedaan praktis antara CVE-2025-31324 dan CVE-2025-42999 selama celah CVE-2025-31324 masih tersedia untuk dieksploitasi,” tulis ReliaQuest.

SAP telah merilis patch untuk menutup kerentanan ini. Para admin sistem SAP NetWeaver sangat disarankan:

  • Segera memperbarui ke versi terbaru
  • Melakukan audit keamanan menyeluruh
  • Memantau aktivitas jaringan mencurigakan, khususnya yang berasal dari IP yang telah diidentifikasi
  • Menerapkan segmentasi jaringan untuk membatasi potensi penyebaran pasca-eksploitasi
Tags:
SAP NetWeaverCelah KeamananRansomware GrupEksploitasi SistemZero-Day Vulnerability
Bagikan:
Avatar

Andhika RDigital Marketing at Fourtrezz

Semua Artikel

Artikel Terpopuler

Kedaulatan Data Nasional di Era Cloud Global

Tags: Kedaulatan Data, Cloud Global, Regulasi Data, Perlindungan Data, Pusat Data

Baca Selengkapnya
Zero Trust 2.0: Evolusi Arsitektur Tanpa Kepercayaan di Dunia Hyperconnected

Tags: Zero Trust, Keamanan Siber, Arsitektur Jaringan, Dunia Hyperconnected, Strategi Keamanan

Baca Selengkapnya
SBOM (Software Bill of Materials): Transparansi Kode Sumber untuk Mencegah Backdoor

Tags: Transparansi SBOM, Keamanan Perangkat, Supply Chain, Backdoor Software, Rantai Pasok

Baca Selengkapnya

Berlangganan Newsletter FOURTREZZ

Jadilah yang pertama tahu mengenai artikel baru, produk, event, dan promosi.

Fourtrezz Logo

PT. Tiga Pilar Keamanan

Grha Karya Jody - Lantai 3
Jl. Cempaka Baru No.09, Karang Asem, Condongcatur
Depok, Sleman, D.I. Yogyakarta 55283

Hubungi Kami

Partner Pendukung

infinitixyberaditif
© 2025 PT Tiga Pilar Keamanan. All Rights Reserved.
Info Ordal