Ha aparecido un
nuevo exploit que combina dos vulnerabilidades de seguridad
críticas, ya parcheadas, en SAP NetWeaver, poniendo a las organizaciones en riesgo de vulneración de sistemas y robo
de datos.
El exploit en cuestión combina las vulnerabilidades
CVE-2025-31324 y CVE-2025-42999 para eludir la autenticación y lograr la ejecución remota de
código, según
informó
la empresa de seguridad de SAP, Onapsis.
-
CVE-2025-31324 (CVSS: 10.0): Falta la comprobación de autorización en el
servidor de desarrollo de Visual Composer de SAP NetWeaver. -
CVE-2025-42999 (CVSS: 9.1): Deserialización insegura en el servidor de
desarrollo de Visual Composer de SAP NetWeaver.
SAP abordó las vulnerabilidades en abril y mayo de 2025, pero no antes de que los cibercriminales las utilizaran como
vulnerabilidades Zero-Day desde marzo.
Se
ha observado
que varios grupos de ransomware y extorsión de datos, como Qilin, BianLian y
RansomExx,
utilizan estas vulnerabilidades como arma, además de varios
equipos de espionaje con vínculos con China
que también las han utilizado en ataques dirigidos a redes de infraestructura
crítica.
La existencia del exploit
fue reportada por primera vez la semana pasada por vx-underground, que afirmó haber sido publicado por Scattered Lapsus$ Hunters, una
nueva alianza formada por Scattered Spider y ShinyHunters.
«Estas vulnerabilidades permiten a un atacante no autenticado ejecutar
comandos arbitrarios en el sistema SAP objetivo, incluyendo la carga de
archivos arbitrarios», declaró Onapsis.
«Esto puede provocar la ejecución remota de código (RCE) y el control total
del sistema afectado, así como de los datos y procesos empresariales de
SAP».
El exploit no solo puede utilizarse para implementar
web shells, sino que también puede utilizarse para llevar a cabo
ataques de tipo «living off the land» (LotL) mediante la ejecución
directa de comandos del sistema operativo sin necesidad de instalar artefactos
adicionales en el sistema comprometido. Estos comandos se ejecutan con
privilegios de administrador de SAP, lo que otorga a los atacantes acceso no
autorizado a los datos y recursos del sistema de SAP.
En concreto, la cadena de ataque utiliza primero CVE-2025-31324 para eludir la
autenticación y cargar la carga maliciosa al servidor. Posteriormente, se
explota la vulnerabilidad de deserialización (CVE-2025-42999) para
descomprimir la carga y ejecutarla con permisos elevados.
«La publicación de este dispositivo de deserialización es especialmente
preocupante debido a que puede reutilizarse en otros contextos, como la
explotación de las vulnerabilidades de deserialización que SAP parcheó
recientemente en julio», advirtió Onapsis.
La empresa describe a los actores de la amenaza como poseedores de un amplio
conocimiento de las aplicaciones de SAP e insta a los usuarios de SAP a
aplicar las últimas correcciones lo antes posible, revisar y restringir el
acceso a las aplicaciones de SAP desde Internet y monitorear las aplicaciones
de SAP para detectar cualquier signo de compromiso.
La empresa RedRays ha publicado un
extenso informe detallado
y un
Scanner para la vulnerabilidad CVE-2025-31324 .
Fuente:
THN