VX Underground ha hecho público un exploit funcional que concatena dos vulnerabilidades críticas de SAP Netweaver (CVE-2025-31324, CVE-2025-42999) que ya han sido explotadas anteriormente, advirtieron los investigadores de seguridad de Onapsis.
Supuestamente el exploit se publicó en un canal de Telegram que afirmaba representar a un colectivo de tres grupos de delitos cibernéticos establecidos: Scattered Spider, ShinyHunters y LAPSUS$.
Explotación histórica de CVE-2025-31324
A principios de este año , un presunto grupo de corredores de acceso inicial abusó de CVE-2025-31324, un error de autenticación faltante que permite a los atacantes cargar archivos sin autenticación, en ataques de día cero para cargar webshells y preparar el camino para ataques de ransomware.
A estos les siguió otra ola de ataques organizados por actores de amenazas oportunistas que aprovecharon los webshells establecidos (del primer ataque de día cero) en sistemas vulnerables.
A mediados de mayo, SAP publicó correcciones para CVE-2025-42999, que cambiaron el mecanismo para procesar ciertos archivos en SAP Visual Composer (el elemento vulnerable de SAP Netweaver) y eliminaron “un riesgo residual que quedaba después de parchear CVE-2025-31324”.
El exploit liberado
El exploit encadena CVE-2025-31324 con CVE-2025-42999, una falla de deserialización que les permite deserializar la carga maliciosa y ejecutar ese código en el sistema SAP vulnerable.
La publicación de este exploit significa que más grupos, incluidos atacantes menos hábiles, ahora pueden aprovechar estas vulnerabilidades.
Este exploit confirma una vez más que estas vulnerabilidades pueden utilizarse no solo para implementar webshells, sino también para aprovecharse de la tierra ejecutando directamente comandos del sistema operativo sin necesidad de implementar ningún artefacto en el sistema objetivo. Estos comandos se ejecutan con privilegios de administrador de SAP (adm), lo que permite el acceso total a los datos y recursos del sistema de SAP, explicaron los investigadores de Onapsis .
Muchas empresas ya han solucionado estos fallos (la Fundación Shadowserver detecta actualmente menos de 50 sistemas SAP Netweaver conectados a Internet que aún no han recibido parches para CVE-2025-31324), pero la publicación del código de explotación introduce nuevos riesgos.
Onapsis advierte que el dispositivo de deserialización podría reutilizarse “en otros contextos, como para explotar las vulnerabilidades de deserialización que SAP parchó recientemente en julio [CVE-2025-30012, CVE-2025-42980, CVE-2025-42966, CVE-2025-42963, CVE-2025-42964]”.
Esto podría abrir nuevos vectores de ataque en otras áreas de las aplicaciones SAP. Es una herramienta poderosa en el arsenal de un atacante, y su divulgación es un evento significativo. Las organizaciones deben asegurarse de que estas vulnerabilidades de SAP también se hayan corregido rápidamente en sus entornos, señalaron.
Los investigadores han recomendado a las empresas aplicar los últimos parches de seguridad de SAP (si aún no lo han hecho), limitar el acceso a las aplicaciones de SAP y supervisar las aplicaciones de SAP para detectar comportamientos sospechosos, como cargas de archivos inesperadas o procesos extraños.
Mandiant y Onapsis han proporcionado escáneres de código abierto que detectan indicadores de compromiso vinculados a ambos CVE.
Fuente y redacción: helpnetsecurity.com / Zeljka Zorz