Una nueva exploit que combina dos fallas de seguridad críticas y ahora paradas en SAP Netweaver ha surgido en la naturaleza, lo que pone en peligro a las organizaciones en peligro de compromiso del sistema y robo de datos.
El exploit en las cuestiones juntas acoplamiento CVE-2025-31324 y CVE-2025-429999 para evitar la autenticación y conseguir la ejecución de código remoto, dijo la compañía de seguridad de SAP Onapsis.
- CVE-2025-31324 (Puntuación CVSS: 10.0) – Demostración de autorización faltante en el servidor de ampliación de compositor visual de SAP Netweaver
- CVE-2025-42999 (Puntuación CVSS: 9.1) – Deserialización insegura en el servidor de ampliación de compositor visual de SAP Netweaver
Las vulnerabilidades fueron abordadas por SAP en abril y mayo de 2025, pero no antiguamente de que los actores de amenaza abusaron de ellos como días cero desde al menos marzo.
Se han observado múltiples grupos de perturbación de ransomware y datos, incluidos Qilin, Bianlian y Ransomexx, se han observado armarse con el armamento, sin mencionar a varios equipos de espionaje de China-Nexus que además los han usado en ataques dirigidos a las redes de infraestructura críticas.
La existencia de la exploit fue reportada por primera vez la semana pasada por VX-subground, que dijo que fue descocado por Lapsus $ cazadores dispersos, una nueva alianza fluida formada por Spider y Shinyhunters dispersos.
“Estas vulnerabilidades permiten que un atacante no autenticado ejecute comandos arbitrarios en el sistema SAP de destino, incluida la carga de archivos arbitrarios”, dijo Onapsis. “Esto puede conducir a la ejecución de código remoto (RCE) y a una adquisición completa del sistema afectado y los datos y procesos comerciales de SAP”.
La exploit, agregó la compañía, no solo puede estilarse para implementar proyectiles web, sino además ser armado para realizar ataques vivos de la tierra (LOTL) mediante la ejecución directa del sistema activo sin tener que eliminar artefactos adicionales en el sistema comprometido. Estos comandos se ejecutan con privilegios de administrador de SAP, otorgando a los malos actores el camino no calificado a los datos de SAP y los medios del sistema.
Específicamente, la condena de ataque utiliza primero CVE-2025-31324 para evitar la autenticación y cargar la carga útil maliciosa en el servidor. La vulnerabilidad de la deserialización (CVE-2025-42999) se explota para desempacar la carga útil y ejecutarla con permisos elevados.
“La publicación de este dispositivo de deserialización es particularmente preocupante correcto al hecho de que puede reutilizarse en otros contextos, como la explotación de las vulnerabilidades de deserialización que SAP recientemente se paró en julio”, advirtió Onapsis.
Esto incluye –
Al describir a los actores de amenaza que tienen un amplio conocimiento de las aplicaciones de SAP, la compañía insta a los usuarios de SAP a aplicar las últimas soluciones lo antiguamente posible, revise y restrinja el camino a aplicaciones de SAP desde Internet y monitoree las aplicaciones SAP para cualquier signo de compromiso.
