A SAP liberou atualizações emergenciais fora de banda para o NetWeaver para corrigir uma falha zero-day de execução remota de código (RCE) suspeita que estava sendo ativamente explorada para sequestrar servidores.
A vulnerabilidade, identificada sob o
CVE-2025-31324
e classificada como crítica (pontuação CVSS v3: 10.0), é uma vulnerabilidade de upload de arquivo não autenticado no SAP NetWeaver Visual Composer, especificamente no componente Metadata Uploader.
Ela permite que atacantes façam upload de arquivos executáveis maliciosos sem necessidade de login, podendo levar à execução remota de código e comprometimento total do sistema.
Embora o boletim do fornecedor não seja público, a ReliaQuest reportou no início desta semana sobre uma vulnerabilidade sendo ativamente explorada no SAP NetWeaver Visual Composer, especificamente no ponto de extremidade '/developmentserver/metadatauploader', que corresponde ao
CVE-2025-31324
.
A ReliaQuest relatou que múltiplos clientes foram comprometidos por meio de uploads de arquivos não autorizados no SAP NetWeaver, com os atacantes fazendo upload de JSP webshells em diretórios publicamente acessíveis.
Estes uploads possibilitaram a execução remota de código via solicitações GET simples para os arquivos JSP, permitindo a execução de comandos a partir do navegador, ações de gerenciamento de arquivos (upload/download) e mais.
Na fase pós-exploração, os atacantes implantaram a ferramenta de red team 'Brute Ratel', a técnica de bypass de segurança 'Heaven's Gate' e injetaram código compilado pelo MSBuild em dllhost.exe para discrição.
A ReliaQuest observou no relatório que a exploração não requeria autenticação e que os sistemas comprometidos estavam totalmente atualizados, indicando que eles foram alvo de um exploit de zero-day.
A empresa de segurança watchTowr também confirmou ao BleepingComputer que está vendo explorações ativas ligadas ao
CVE-2025-31324
.
"Atacantes não autenticados podem abusar da funcionalidade integrada para fazer upload de arquivos arbitrários em uma instância do SAP NetWeaver, o que significa execução remota de código e comprometimento total do sistema," declarou Benjamin Harris, CEO da watchTowr.
A watchTowr está vendo a exploração ativa por atores de ameaças, que estão usando essa vulnerabilidade para deixar backdoors de web shell em sistemas expostos e ganhar mais acesso.
Esta exploração ativa no mundo real e impacto generalizado torna extremamente provável que em breve veremos explorações prolíficas por múltiplas partes.
A vulnerabilidade impacta o Visual Composer Framework 7.50 e a ação recomendada é aplicar o último patch.
Essa atualização de segurança emergencial ficou disponível após a atualização regular da SAP de 'Abril de 2025', então, se você aplicou essa atualização no início do mês (lançada em 8 de abril de 2025), você ainda está vulnerável ao
CVE-2025-31324
.
Além disso, a atualização emergencial inclui correções para mais duas vulnerabilidades críticas, nomeadamente
CVE-2025-27429
(injeção de código em SAP S/4HANA) e
CVE-2025-31330
(injeção de código em SAP Landscape Transformation).
Aqueles que não puderem aplicar as atualizações que abordam o
CVE-2025-31324
são recomendados a realizar as seguintes mitigações:
- Restringir o acesso ao endpoint /developmentserver/metadatauploader.
- Se o Visual Composer não estiver em uso, considere desativá-lo completamente.
- Encaminhar logs para SIEM e escanear por arquivos não autorizados no caminho do servlet.
A ReliaQuest recomenda a realização de uma varredura profunda no ambiente para localizar e deletar arquivos suspeitos antes de aplicar as mitigações.
Atualização em 25/04 - Um porta-voz da SAP contestou por meio de uma declaração que o
CVE-2025-31324
foi explorado com sucesso em ataques reais.
"A SAP foi informada sobre uma vulnerabilidade no SAP NETWEAVER Visual Composer, que pode ter permitido a execução de código não autenticado e não autorizado em certos Servlets Java," afirmou o porta-voz da SAP.
A SAP não tem conhecimento de que os dados ou sistemas dos clientes da SAP foram impactados por essas vulnerabilidades.
Uma solução alternativa foi lançada em 8 de abril de 2025, e um patch está disponível atualmente.
Os clientes são recomendados a aplicar o patch imediatamente.
Enquanto isso, a empresa de cibersegurança Onapsis publicou um relatório dizendo que também observou exploração ativa.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...