Shadow Server ha identificado un sistema 454 SAP NetWeaver que es vulnerable a las vulnerabilidades críticas de día cero que se explotan activamente en la naturaleza.
Una vulnerabilidad rastreada como CVE-2025-31324 permite a los atacantes no reconocidos cargar archivos maliciosos a los sistemas afectados, lo que podría conducir a un compromiso completo del sistema.
Un defecto crítico con una puntuación máxima de gravedad de CVSS de 10.0 afecta el componente del cargador de metadatos del compositor visual de SAP Netweaver. Durante las actividades de respuesta a incidentes descubiertas por los investigadores de seguridad de Reliaquest en abril de 2025, la vulnerabilidad ya ha sido armada en ataques contra organizaciones que ejecutan instalaciones de SAP totalmente parcheadas.
Esta vulnerabilidad se dirige específicamente al punto final “/Developmentserver/MetAdatauploader”. Esto permite a los atacantes cargar WebShells de JSP a un directorio publicado porque carecen de controles de autorización adecuados.
Metodología de ataque
La tecnología de explotación aprovecha las verificaciones de autorización que faltan en el componente del cargador de metadatos para permitir a los atacantes cargar ejecutables potencialmente maliciosos sin autenticación. Esta vulnerabilidad se clasifica como CWE-434 (cargas ilimitadas de tipos peligrosos de archivos).
Los investigadores de seguridad señalan que en algunos ataques observados, los actores de amenazas adoptaron técnicas evasivas como herramientas sofisticadas posteriores a la explotación, incluido el marco Blue Tratel C4 y las puertas celestiales para evitar las mediciones de protección del punto final.
Según una investigación de Onapsis, la vulnerabilidad afecta a SAP Netweaver Visual Composer, pero no está instalado de forma predeterminada, pero está presente en aproximadamente el 50-70% de los sistemas Java. Una vez comprometido, el sistema afectado se puede usar para implementar malware adicional, establecer un acceso permanente y eliminar datos confidenciales.
“Las vulnerabilidades son particularmente peligrosas porque no requieren autenticación, son relativamente fáciles de ejecutar, no requieren la interacción del usuario y permiten que los atacantes tengan un control completo sobre los sistemas afectados”, explicó Vahagn Vardanian de Redrays.
alivio
SAP lanzó un parche de emergencia el 24 de abril de 2025 a través de la nota de seguridad 3594142 aparte de los ciclos de parche normales. Se recomienda encarecidamente las organizaciones para aplicar este parche de inmediato o implementar las soluciones temporales descritas en SAP Note 3593336.
Para determinar si su sistema es vulnerable:
Pruebe si se puede acceder a la ruta de la URL “/Developmentserver/metadatauploader” sin revisión de autenticación
Los expertos en seguridad tratan esto como la actualización de seguridad de mayor prioridad y recomiendan implementar parches que se proporcionen lo antes posible. Para las organizaciones que no pueden parchear de inmediato, es importante implementar soluciones recomendadas y un monitoreo mejorado para minimizar la exposición al riesgo.
Se recomienda a las organizaciones que utilizan sistemas SAP para implementar un monitoreo de seguridad apropiado y mantener horarios regulares de parches para minimizar la exposición futura a amenazas similares.
¿Eres de los equipos SOC y DFIR? – Analice los incidentes de malware y comience cualquiera.run-> gratis.
