Agentes de ameaças provavelmente estão explorando uma nova vulnerabilidade no SAP NetWeaver para fazer upload de web shells JSP com o objetivo de facilitar o upload não autorizado de arquivos e execução de código.
"A exploração provavelmente está relacionada a uma vulnerabilidade anteriormente divulgada como
CVE-2017-9844
ou a um problema de inclusão remota de arquivo (RFI) não reportado", disse a ReliaQuest em um relatório publicado esta semana.
A empresa de cibersegurança disse que a possibilidade de um zero-day vem do fato de que vários dos sistemas impactados já estavam executando os patches mais recentes.
A falha é avaliada por estar enraizada no endpoint "/developmentserver/metadatauploader" no ambiente NetWeaver, permitindo a agentes de ameaças desconhecidos fazer upload de web shells JSP maliciosas no caminho "servlet_jsp/irj/root/" para acesso remoto persistente e entrega de payloads adicionais.
Dito de outra forma, o web shell JSP leve é configurado para fazer upload de arquivos não autorizados, permitir controle enraizado sobre os hosts infectados, executar código remoto e sifonar dados sensíveis.
Incidentes selecionados foram observados usando o framework de pós-exploração Brute Ratel C4, bem como uma técnica bem conhecida chamada Heaven's Gate para burlar proteções de endpoint.
Pelo menos em um caso, os agentes de ameaças levaram vários dias para progredir do acesso inicial bem-sucedido à exploração subsequente, aumentando a possibilidade de que o atacante possa ser um broker de acesso inicial (IAB) que está obtendo e vendendo acesso a outros grupos de ameaças em fóruns clandestinos.
"Nossa investigação revelou um padrão preocupante, sugerindo que os adversários estão explorando um exploit conhecido e combinando-o com uma mistura de técnicas em evolução para maximizar seu impacto", disse a ReliaQuest.
As soluções SAP são frequentemente usadas por agências governamentais e empresas, tornando-as alvos de alto valor para atacantes.
Como as soluções SAP são frequentemente implantadas on-premises, as medidas de segurança para esses sistemas ficam a cargo dos usuários; atualizações e patches que não são aplicados prontamente provavelmente exporão esses sistemas a um maior risco de comprometimento.
Coincidentemente, a SAP também lançou uma atualização para abordar uma falha de segurança de severidade máxima (
CVE-2025-31324
, pontuação CVSS: 10.0) que um atacante poderia explorar para fazer upload de arquivos arbitrários.
"O SAP NetWeaver Visual Composer Metadata Uploader não está protegido com uma autorização adequada, permitindo que um agente não autenticado faça upload de binários executáveis potencialmente maliciosos que poderiam prejudicar severamente o sistema host", lê-se no aviso sobre a vulnerabilidade.
É provável que o
CVE-2025-31324
se refira ao mesmo defeito de segurança não reportado, dado que o anterior também afeta o mesmo componente de uploader de metadados.
A divulgação ocorre pouco mais de um mês depois que a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) alertou sobre a exploração ativa de outra falha grave do NetWeaver (
CVE-2017-12637
) que poderia permitir a um atacante obter arquivos de configuração SAP sensíveis.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...