Es probable que los actores de amenaza estén explotando una nueva vulnerabilidad en SAP NetWeaver para cargar los shsh Web SHEL con el objetivo de suministrar las cargas de archivos no autorizadas y la ejecución del código.
“La explotación probablemente esté vinculada a una vulnerabilidad previamente divulgada como CVE-2017-9844 o una exhalación de inclusión de archivos remotos (RFI) no reportados”, dijo Reliaquest en un referencia publicado esta semana.
La ciberseguridad dijo que la posibilidad de un día cero se deriva del hecho de que varios de los sistemas afectados ya estaban ejecutando los últimos parches.
Se evalúa que el defecto se podio en el punto final “/Developmentserver/MetAdatauploader” en el entorno NetWeaver, lo que permite a los actores de amenaza desconocidos cargar capas web maliciosas basadas en JSP en la ruta “SERVLET_JSP/IRJ/Root/” para el entrada remoto persistente y entregar cargas avíos adicionales.
Dicho de guisa diferente, el shell web tenue está configurado para cargar archivos no autorizados, habilitar un control arraigado sobre los hosts infectados, ejecutar código remoto y datos sensibles al sifón.
Se han observado incidentes seleccionados utilizando el entorno Brute Ratel C4 posteriormente de la explotación, así como una técnica admisiblemente conocida citación Heaven’s Gate para evitar las protecciones del punto final.
Al menos en un caso, los actores de amenaza tardaron varios días en progresar del entrada auténtico exitoso a la explotación de seguimiento, lo que aumenta la posibilidad de que el atacante sea un corredor de entrada auténtico (IAB) que está obteniendo y vendiendo entrada a otros grupos de amenazas en foros subterráneos.
“Nuestra investigación reveló un patrón preocupante, lo que sugiere que los adversarios están aprovechando una exploit conocida y combinándolo con una combinación de técnicas en cambio para maximizar su impacto”, dijo Reliaquest.
“Las soluciones de SAP son a menudo utilizadas por agencias gubernamentales y empresas, lo que los convierte en objetivos de suspensión valencia para los atacantes. Como las soluciones de SAP a menudo se implementan en las instalaciones, las medidas de seguridad para estos sistemas se dejan a los usuarios; las actualizaciones y parches que no se aplican de inmediato pueden exponer estos sistemas a un decano peligro de compromiso”.
Casualmente, SAP además ha publicado una aggiornamento para chocar una error de seguridad de dificultad máxima (CVE-2025-31324, puntaje CVSS: 10.0) que un atacante podría explotar para cargar archivos arbitrarios.
“El cargador de metadatos de SAP Netweaver Visual Composer no está protegido con una autorización adecuada, lo que permite que un agente no autenticado cargue binarios ejecutables potencialmente maliciosos que podrían dañar severamente el sistema del host”, se lee en un aviso para la vulnerabilidad.
Es probable que CVE-2025-31324 se refiera al mismo defecto de seguridad no reportado transmitido que el primero además afecta el componente del cargador de metadatos.
La divulgación se produce poco más de un mes posteriormente de la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) advirtió sobre la explotación activa de otro defecto de Netweaver de incorporación severidad (CVE-2017-12637) que podría permitir a un atacante obtener archivos de configuración SAP sensibles.
Poner al día
Reliaquest ha confirmado a Hacker News que la actividad maliciosa detallada anteriormente está aprovechando una nueva vulnerabilidad de seguridad que ahora se está rastreando como CVE-2025-31324.
“Esta vulnerabilidad, que identificamos durante nuestra investigación publicada el 22 de abril de 2025 se sospechaba que era un problema de inclusión de archivos remotos (RFI)”, dijo la compañía. “Sin requisa, SAP lo confirmó más tarde como una vulnerabilidad de carga de archivos sin restricciones, lo que permite a los atacantes cargar archivos maliciosos directamente al sistema sin autorización”.
(La historia se actualizó posteriormente de la publicación para confirmar la explotación de una nueva error de día cero).
