Um grave defeito de segurança recentemente divulgado, impactando o SAP NetWeaver, está sendo explorado por múltiplos atores de nações com vínculos à China para atacar redes de infraestrutura crítica.
"Atuantes se aproveitaram do
CVE-2025-31324
, uma vulnerabilidade de upload de arquivo não autenticada que permite execução remota de código (RCE)," disse o pesquisador da EclecticIQ, Arda Büyükkaya, em uma análise publicada hoje.
Os alvos da campanha incluem redes de distribuição de gás natural, instalações de manejo de água e resíduos integrados no Reino Unido, fábricas de fabricação de dispositivos médicos e companhias de exploração e produção de óleo e gás nos Estados Unidos, e ministérios do governo da Arábia Saudita responsáveis por estratégia de investimento e regulação financeira.
Os achados são baseados em um diretório exposto publicamente descoberto em uma infraestrutura controlada por atacantes ("15.204.56[.]106") que continha registros de eventos capturando atividades em múltiplos sistemas comprometidos.
A companhia de cibersegurança Holandesa atribuiu as intrusões aos grupos de atividade de ameaça Chinesa rastreados como UNC5221, UNC5174, e CL-STA-0048, sendo o último ligado a ataques visando alvos de alto valor no Sul da Ásia por explorar vulnerabilidades conhecidas em servidores IIS, Apache Tomcat, e MS-SQL de interface pública para implantar web shells, reverse shells e o backdoor PlugX.
Também foi observado que um ator de ameaça da China, ainda não categorizado, está conduzindo uma campanha de escaneamento e exploração de internet ampla contra sistemas SAP NetWeaver.
O servidor hospedado no endereço IP "15.204.56[.]106" foi encontrado contendo múltiplos arquivos, incluindo -
"
CVE-2025-31324
-results.txt", que registrou 581 instâncias SAP NetWeaver comprometidas e manipuladas com um web shell
"服务数据_20250427_212229.txt", que lista 800 domínios rodando SAP NetWeaver provavelmente visando futuros ataques.
"A infraestrutura de diretório aberta exposta revela violações confirmadas e destaca os alvos planejados do grupo, oferecendo uma visão clara tanto das operações passadas quanto futuras", notou Büyükkaya.
A exploração do
CVE-2025-31324
é seguida pelo ator de ameaça implantando dois web shells que são projetados para manter acesso remoto persistente aos sistemas infectados e executar comandos arbitrários.
Além disso, três diferentes grupos de hackers chineses foram observados explorando a vulnerabilidade do SAP NetWeaver como parte dos esforços para manter acesso remoto, conduzir reconhecimento e soltar programas maliciosos -
CL-STA-0048, que tentou estabelecer um reverse shell interativo para "43.247.135[.]53", um endereço IP previamente identificado como utilizado pelo ator de ameaça
UNC5221, que utilizou um web shell para implantar o KrustyLoader, um malware baseado em Rust que pode ser usado para servir payloads de segunda fase como o Sliver, configurar persistência e executar comandos shell UNC5174, que utilizou um web shell para baixar o SNOWLIGHT, um carregador que inicia uma conexão com um servidor codificado para buscar um trojan de acesso remoto baseado em Go chamado VShell e um backdoor conhecido como GOREVERSE
"APT's vinculados à China são altamente propensos a continuar mirando aplicações empresariais expostas na internet e dispositivos de borda para estabelecer acesso estratégico de longo prazo e persistência em redes de infraestrutura crítica globalmente," disse Büyükkaya.
O foco deles em plataformas amplamente usadas como SAP NetWeaver é um movimento estratégico, já que esses sistemas são integrados profundamente em ambientes empresariais e muitas vezes hospedam vulnerabilidades não corrigidas.
A divulgação vem dias após um outro ator de ameaça vinculado à China, não nomeado e apelidado de Chaya_004, também ter sido atribuído à exploração do
CVE-2025-31324
para implantar um reverse shell baseado em Go chamado SuperShell.
A firma de segurança SAP, Onapsis, disse que está "vendo uma atividade significativa de atacantes que estão usando informações públicas para acionar a exploração e abusar dos web shells colocados pelos atacantes originais, que atualmente desapareceram."
Análises posteriores desses ataques levaram à descoberta de outro defeito crítico no componente Visual Composer Metadata Uploader do NetWeaver.
Registrado como
CVE-2025-42999
(pontuação CVSS: 9.1), foi descrito como uma vulnerabilidade de deserialização que poderia ser explorada por um usuário privilegiado para fazer upload de conteúdo não confiável ou malicioso.
"Os ataques que observamos durante março de 2025 (que começaram com provas básicas em janeiro de 2025) estão na verdade abusando de ambos, a falta de autenticação (
CVE-2025-31324
) bem como a deserialização insegura (
CVE-2025-42999
)," contou à imprensa, Juan Pablo (JP) Perez-Etchegoyen, CTO da Onapsis.
Essa combinação permitiu aos atacantes executar comandos arbitrários remotamente e sem qualquer tipo de privilégios no sistema.
Organizações que aplicaram efetiva e tempestivamente a Nota de Segurança SAP 3594142 (Patch para
CVE-2025-31324
), mitigaram significativamente o risco de exploração.
Organizações devem agora aplicar a Nota de Segurança SAP 3604119 para remover qualquer risco residual nos Aplicativos SAP.
Esse risco residual é basicamente uma vulnerabilidade de deserialização explorável apenas por usuários com o papel de VisualComposerUser no sistema SAP alvo.
À luz da exploração ativa em curso, clientes do SAP NetWeaver são recomendados a atualizar suas instâncias para a versão mais recente o mais rápido possível.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...