A SAP lançou patches para corrigir uma segunda vulnerabilidade que foi explorada em ataques recentes visando servidores SAP NetWeaver como um zero-day.
A empresa emitiu atualizações de segurança para essa falha (
CVE-2025-42999
) na segunda-feira, 12 de maio, informando que ela foi descoberta durante a investigação de ataques zero-day que envolviam outra vulnerabilidade de upload de arquivo não autenticado (rastreada como
CVE-2025-31324
) no SAP NetWeaver Visual Composer, que foi corrigida em abril.
"A SAP está ciente e tem abordado as vulnerabilidades no SAP NETWEAVER Visual Composer," disse um porta-voz da SAP.
"Pedimos a todos os clientes que utilizam o SAP NETWEAVER para instalar esses patches para se protegerem. As Notas de Segurança podem ser encontradas aqui: 3594142 & 3604119."
A ReliaQuest detectou pela primeira vez os ataques que exploravam
CVE-2025-31324
como um zero-day em abril, relatando que os atores de ameaças estavam carregando JSP web shells em diretórios públicos e a ferramenta Brute Ratel red team após violarem os sistemas dos clientes por meio de uploads de arquivo não autorizados no SAP NetWeaver.
As instâncias hackeadas estavam totalmente atualizadas, indicando que os atacantes usaram um exploit zero-day.
Essa atividade maliciosa também foi confirmada pelas empresas de cibersegurança watchTowr e Onapsis, que também observaram os atacantes carregando backdoors de web shell em instâncias não atualizadas expostas online.
O Vedere Labs da Forescout vinculou alguns desses ataques a um ator de ameaça chinês que acompanha como Chaya_004.
O CTO da Onyphe, Patrice Auffret, disse no final de abril que "Algo como 20 empresas da Fortune 500/Global 500 estão vulneráveis, e muitas delas estão comprometidas," adicionando que havia 1.284 instâncias vulneráveis expostas online na época, 474 já comprometidas.
A Fundação Shadowserver agora está rastreando mais de 2040 servidores SAP Netweaver expostos na Internet e vulneráveis a ataques.
Embora a SAP não tenha confirmado que o
CVE-2025-42999
foi explorado na natureza, o CTO da Onapsis, Juan Pablo Perez-Etchegoyen, disse que os atores de ameaça estavam encadeando ambas as vulnerabilidades em ataques desde janeiro.
"Os ataques que observamos durante março de 2025 (que começaram com provas básicas em janeiro de 2025) estão na verdade abusando de ambos, a falta de autenticação (
CVE-2025-31324
) bem como a des-serialização insegura (
CVE-2025-42999
)," disse Perez-Etchegoyen.
Esta combinação permitiu aos atacantes executar comandos arbitrários remotamente e sem nenhum tipo de privilégio no sistema.
Este risco residual é basicamente uma vulnerabilidade de des-serialização somente explorável por usuários com o papel de VisualComposerUser no sistema-alvo da SAP.
Aconselha-se que os administradores de SAP imediatamente apliquem patches em suas instâncias NetWeaver e considerem desativar o serviço de Visual Composer se possível, além de restringir o acesso aos serviços de upload de metadados e monitorar atividades suspeitas em seus servidores.
Desde que os ataques começaram, a CISA adicionou a falha
CVE-2025-31324
ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas, ordenando que agências federais protejam seus sistemas até 20 de maio, conforme exigido pela Diretiva Operacional Obrigatória (BOD) 22-01.
"Esse tipo de vulnerabilidade é um vetor de ataque frequente para atores de ciberataques maliciosos e apresenta riscos significativos para a empresa federal," a CISA alertou.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...