La ola de ataques cibernéticos específicos expuso vulnerabilidades previamente desconocidas en SAP Netweaver, lo que permite a los atacantes implementar proyectiles web JSP maliciosos e incluso aquellos que ejecutan los últimos parches para obtener acceso no autorizado a los sistemas empresariales.
En abril de 2025, los investigadores de seguridad de Reliaquest explotaron los fallas al identificar una serie de incidentes en los que los actores de amenaza cargan y ejecutan conchas web en directorios publicados, lo que plantea preocupaciones sobre las vulnerabilidades de inclusión de archivos remotos (RFI) que no habían sido reportados o parcheados previamente.
Vulnerabilidad RFI de SAP Netweaver
La reciente ola de ataques se ha centrado en el punto final de SAP NetWeaver /Developmententerver /MetAdatauploader. Esta es una característica para procesar archivos de metadatos en el desarrollo y configuración de aplicaciones.
Los actores de amenaza han explotado una vulnerabilidad de inclusión de archivos remotos (RFI). Esta vulnerabilidad permite que la entrada de usuario no sanitaria permita que cualquier archivo se cargue y ejecute en el servidor.
En este caso, el atacante creó una solicitud de publicación HTTP maliciosa y cargó la red web de la página Javaserver (JSP) directamente al directorio J2EE/cluster/apps/sap.com/irj/servletjsp/irj/root/.
Una vez que el WebShell está en su lugar, un atacante puede ejecutar cualquier comando en el sistema comprometido simplemente enviando HTTP GET Solicitudes a la URL de WebShell.
Esto también proporcionó un control remoto completo, incluida la carga de archivos maliciosos, la ejecución de código, la eliminación de datos confidenciales y más.
Los paquetes de java de JSP implementados JSP.JSP y Cache.jsp – Java para interactuar con los procesos del sistema, proporcionó un formulario HTML de atacante para la ejecución de comandos y se muestran la salida de comandos directamente en el navegador.
Muchas de estas redes web se basan en repositorios de código fuente abierto y son livianos y compatibles con el entorno NetWeaver.
Después de obtener acceso inicial, el atacante aumentó la operación utilizando herramientas y técnicas avanzadas.
Tratel azul
Este marco de comando y control comercial (C2) se cargó al servidor a través de WebShell. El atacante escribió el código C# en un archivo (output.txt), lo movió al directorio de datos del programa y lo compiló utilizando la utilidad MSBuild en el marco .NET.
Luego usé Blue Tratel para inyectar el código en el proceso dllhost.exe para descifrar y ejecutar la carga útil maliciosa en la memoria.
Brute Ratel ha sido elogiado por sus características posteriores a la explosión, como comunicaciones encriptadas, personalizaciones de carga útil, escalada de privilegios y recolección de calificación.
Puerta del cielo
Para evitar la detección de puntos finales, los atacantes utilizaron la técnica de la puerta del cielo. Esto manipuló el contexto de ejecución del hilo a la transición de 32 bits y 64 bits.
Esto se logra a través de la llamada de la API de Windows ntsetContextThread, lo que permite que el código malicioso pase por alto los controles de seguridad.
SAP Netweaver está ampliamente implementado en entornos gubernamentales y corporativos y es un objetivo valioso.
El ataque también se detectó en sistemas con los últimos paquetes y parches de servicios de SAP, lo que planteó las preocupaciones de que este era un verdadero día cero o una variante no reportada de problemas previamente conocidos, como CVE-2017-9844.
Sin embargo, la evidencia sugiere que la exploit es diferente de la vulnerabilidad parcheada, lo que indica un nuevo defecto de RFI.
Un corredor de acceso temprano puede estar involucrado y puede vender acceso a un entorno SAP comprometido en el Foro del delito Cibernético. Aunque no se encontró evidencia directa de tales ventas, SAP Netweaver es un tema frecuente y frecuente en las comunidades subterráneas, lo que destaca aún más el riesgo.
Los expertos en seguridad recomiendan la siguiente acción inmediata para los administradores de SAP Netweaver:
Deshabilite los alias para aplicaciones de compositor visual y de desarrollos de desarrollos. Ambas son características heredadas dirigidas con cadenas de exploit. Restringir el acceso al punto final /DevelopmentServer /MetAdatauploader a través de reglas de firewall. Centralice y monitorice los registros para actividades sospechosas, especialmente para cargas ilegales de archivos en J2EE/Cluster/Apps/SAP.com/IRJ/SERVLETJSP/IRJ/ROOT/. Escanee el shell web utilizando métricas conocidas de compromiso, como un hash de Helper.jsp y Cache.jsp WebShells.
La campaña destaca el riesgo persistente de vulnerabilidades de día cero en plataformas comerciales críticas como SAP Netweaver.
Se insta a las organizaciones a verificar sus actitudes de seguridad, aplicar las mitigaciones disponibles y permanecer atentos a los signos de compromiso a medida que continúan las investigaciones de causa raíz.
¿Eres de los equipos SOC y DFIR? – Analice los incidentes de malware y comience cualquiera.run-> gratis.
