SAP soluciona una Vulnerabilidad crítica de Ejecución remota de Código en NetWeaver

por

SAP ha lanzado una actualización de emergencia fuera de banda para corregir una vulnerabilidad de ejecución remota de código (RCE) en SAP NetWeaver que estaba siendo explotada activamente en ataques.

Esta vulnerabilidad, identificada como CVE-2025-31324 y calificada con un puntaje CVSS v3 de 10.0 (crítica), permite a los atacantes cargar archivos ejecutables maliciosos sin necesidad de autenticación, lo que podría llevar a una compromiso total del sistema.

Detalles de la Vulnerabilidad

  • Componente afectado: La vulnerabilidad afecta al SAP NetWeaver Visual Composer, específicamente al componente Metadata Uploader.
  • Método de explotación: Los atacantes pueden cargar archivos maliciosos sin necesidad de iniciar sesión, lo que permite la ejecución remota de código y el control total del sistema comprometido.
  • Explotación activa: Según ReliaQuest, se han identificado múltiples compromisos de clientes mediante cargas de archivos no autorizadas en SAP NetWeaver, con los atacantes subiendo webshells JSP a directorios accesibles públicamente.

Herramientas y Técnicas Utilizadas

  • Post-explotación: Después de obtener acceso, los atacantes desplegaron la herramienta de equipo rojo ‘Brute Ratel’, utilizaron la técnica de evasión de seguridad ‘Heaven’s Gate’, e inyectaron código compilado en dllhost.exe para ocultarse.
  • Sin necesidad de autenticación: La explotación de esta vulnerabilidad no requiere autenticación, lo que facilita el ataque sin la necesidad de credenciales válidas.

Acciones Recomendadas ️

  • Aplicar parches: SAP ha lanzado un parche de seguridad urgente para solucionar la vulnerabilidad en la versión 7.50 del Visual Composer Framework. Si ya se aplicaron las actualizaciones de abril de 2025, el sistema sigue siendo vulnerable.
  • Mitigaciones recomendadas:
    • Restringir el acceso al endpoint /developmentserver/metadatauploader.
    • Si Visual Composer no está en uso, desactivarlo completamente.
    • Enviar logs a SIEM y escanear para detectar archivos no autorizados en la ruta del servlet.

Impacto y Soluciones ⚠️

SAP también ha lanzado parches para dos vulnerabilidades adicionales críticas:

  • CVE-2025-27429: Inyección de código en SAP S/4HANA.
  • CVE-2025-31330: Inyección de código en SAP Landscape Transformation.

Si no es posible aplicar los parches, ReliaQuest sugiere realizar un análisis profundo del entorno para localizar y eliminar archivos sospechosos antes de aplicar las mitigaciones.

Declaración de SAP

SAP ha disputado la afirmación de que CVE-2025-31324 fue explotada con éxito en ataques reales.

En una declaración oficial, SAP mencionó que no tienen constancia de que los datos o sistemas de sus clientes se hayan visto afectados. A pesar de esto, recomiendan aplicar el parche de inmediato.

Descubre más desde CIBERED

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Deja un comentario