El Día del Parche de Seguridad de SAP en mayo de 2025 incluye una actualización de emergencia para un parche de emergencia publicado previamente para vulnerabilidades críticas de día cero (CVE-2025-31324) que continúa viendo una explotación agresiva en múltiples industrias de todo el mundo.
Esta versión incluye 16 nuevas notas de seguridad y dos actualizaciones a las notas publicadas anteriormente, con un enfoque particular en abordar las serias vulnerabilidades de NetWeaver.
Vulnerabilidades críticas de RCE de SAP Netweaver 0 días
Una vulnerabilidad crítica calificada con una puntuación CVSS máxima posible de 10.0 afecta el componente del servidor de desarrollo del compositor visual (VCFRamework 7.50) en SAP NetWeaver.
Este defecto, reportado por primera vez por la firma de investigación de seguridad Reliaquest el 22 de abril de 2025, llevó a SAP a emitir un parche de emergencia el 24 de abril. Las actualizaciones de hoy mejorarán la protección contra las tecnologías de explotación en evolución.
La causa subyacente de este problema es la autenticación inapropiada y las verificaciones de autorización para la aplicación. Esto significa que si un usuario no certificado quiere aprovechar algunas de las características, el cargador de metadatos no está protegido.
Los investigadores de seguridad han determinado que la explotación ya había comenzado el 20 de enero de 2025, y los intentos reales de explotar comenzarán alrededor del 10 de febrero.
Esta vulnerabilidad es particularmente peligrosa ya que un atacante remoto no certificado puede cargar cualquier archivo que contenga un archivo ejecutable malicioso, lo que resulta en un compromiso completo del sistema.
“Inicialmente se pensaba que se limitaba a las cargas voluntarias de archivos, pero una investigación adicional ha confirmado que, de hecho, esta es una ejecución de comando remoto (RCE)”, dice Onapsis, el aviso actualizado.
Se ha observado que los atacantes cargan JSP WebShells con nombres como “Helper.jsp” y “Cache.jsp” para facilitar el acceso persistente.
El impacto de la vulnerabilidad abarca muchos sectores, con Onapis y Manding confirmando “explotación de toda la industria y geografía, incluidos los compromisos confirmados en energía y servicios públicos, fabricación, medios y entretenimiento, petróleo y gas, medicamentos, organizaciones minoristas y gubernamentales”.
SAP Visual Composer no está instalado de forma predeterminada, pero la investigación dice que “los estudios muestran que está instalado y habilitado en al menos el 50% de los sistemas Java, con cuyo porcentaje puede alcanzar el 70%”.
Este extenso desarrollo creó una superficie ofensiva sustancial. A partir del 5 de mayo de 2025, las compañías de seguridad han observado “una segunda ola de ataques organizados por actores de amenaza oportunista de seguimiento que han sido apalancados previamente de webshells establecidos del primer ataque de día cero”.
Los ataques más recientes están vinculados a un actor de amenaza china rastreado como Chaya_004.
Factor de riesgo Detalle Productos de ventas SAP SAP Netweaver Visual Composer Development Server (VCFRamework 7.50) ImpacTremote Code Code Execution (RCE), cualquier carga de archivo, Sistema completo RommiseExPloit PrerereExploit Acceso a acceso Conexión de acceso a acceso
Las organizaciones que ejecutan SAP Netweaver son muy recomendables:
Aplique el parche actualizado (Nota de SAP #3594142) inmediatamente. Implemente una solución detallada en SAP Note #3593336. Si el parche inmediato no es posible. Realizar una evaluación de compromiso del sistema de exposición.
Debido al “acceso de ADM” al sistema operativo SAP subyacente, el entorno comprometido enfrenta el riesgo de robo de datos, operaciones de registros financieros, implementación de ransomware y posibles violaciones del cumplimiento regulatorio.
A medida que SAP continúa monitoreando esta situación, se les pedirá a los clientes que prioricen esta actualización sobre todo lo demás en el ciclo de parcheo de mayo.
Cómo los piratas informáticos de simulación de ataque de vulnerabilidad sondean rápidamente sitios web de puntos de entrada: seminario web gratuito
