Um novo exploit que combina duas falhas de segurança críticas e já corrigidas no SAP NetWeaver surgiu, colocando organizações em risco de comprometimento do sistema e roubo de dados.
O exploit em questão encadeia o
CVE-2025-31324
e o
CVE-2025-42999
para burlar a autenticação e alcançar execução remota de código, disse a empresa de segurança de SAP, Onapsis.
CVE-2025-31324
(pontuação CVSS: 10.0) - Falta de verificação de autorização no servidor de desenvolvimento Visual Composer do SAP NetWeaver.
CVE-2025-42999
(pontuação CVSS: 9.1) - Deserialização Insegura no servidor de desenvolvimento Visual Composer do SAP NetWeaver.
As vulnerabilidades foram corrigidas pela SAP em abril e maio de 2025, mas não antes de serem exploradas por agentes de ameaças como zero-days desde pelo menos março.
Vários grupos de ransomware e extorsão de dados, incluindo Qilin, BianLian e RansomExx, foram observados utilizando as falhas, sem mencionar vários grupos de espionagem com nexos na China que também as utilizaram em ataques direcionados a redes de infraestrutura crítica.
A existência do exploit foi relatada pela primeira vez na semana passada por vx-underground, que disse ter sido liberado por Scattered Lapsus$ Hunters, uma nova aliança fluida formada por Scattered Spider e ShinyHunters.
"Essas vulnerabilidades permitem que um atacante não autenticado execute comandos arbitrários no sistema SAP alvo, incluindo o upload de arquivos arbitrários," disse Onapsis.
"Isso pode levar a execução remota de código (RCE) e a uma tomada completa do sistema afetado e dos dados e processos de negócios SAP." O exploit, acrescentou a empresa, não só pode ser usado para implantar web shells, mas também ser armado para conduzir ataques living-off-the-land (LotL) executando diretamente comandos do sistema operacional sem ter que soltar artefatos adicionais no sistema comprometido.
Esses comandos são executados com privilégios de administrador SAP, concedendo aos atores maliciosos acesso não autorizado aos dados e recursos do sistema SAP.
Especificamente, a cadeia de ataque primeiro usa o
CVE-2025-31324
para contornar a autenticação e carregar o payload malicioso no servidor.
A vulnerabilidade de deserialização (
CVE-2025-42999
) é então explorada para descompactar o payload e executá-lo com permissões elevadas.
"A publicação deste gadget de deserialização é particularmente preocupante devido ao fato de que ele pode ser reutilizado em outros contextos, como explorar as vulnerabilidades de deserialização que foram recentemente corrigidas pela SAP em julho," alertou Onapsis.
Isso inclui:
-
CVE-2025-30012
(pontuação CVSS: 10.0);
-
CVE-2025-42963
(pontuação CVSS: 9.1);
-
CVE-2025-42964
(pontuação CVSS: 9.1);
-
CVE-2025-42966
(pontuação CVSS: 9.1);
-
CVE-2025-42980
(pontuação CVSS: 9.1).
Descrevendo os agentes de ameaças como tendo conhecimento extensivo das aplicações SAP, a empresa está instando os usuários da SAP a aplicarem as correções mais recentes o quanto antes, revisarem e restringirem o acesso às aplicações SAP da internet e monitorarem as aplicações SAP para quaisquer sinais de comprometimento.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...