Grupos de ransomware se juntaram aos ataques em andamento ao SAP NetWeaver, explorando uma vulnerabilidade de máxima gravidade que permite aos agentes de ameaças executar código remoto em servidores vulneráveis.
A SAP lançou patches de emergência em 24 de abril para tratar essa falha de segurança de upload de arquivo não autenticado do NetWeaver Visual Composer (
CVE-2025-31324
), dias depois de ser sinalizada pela primeira vez pela empresa de cibersegurança ReliaQuest como visada em ataques ativos.
A exploração bem-sucedida permite que agentes de ameaças façam upload de arquivos maliciosos sem exigir credenciais de login, podendo levar a um comprometimento completo do sistema.
Em uma atualização do seu comunicado original, a ReliaQuest revelou que as operações de ransomware RansomEXX e BianLian também se juntaram a esses ataques, embora nenhum payload de ransomware tenha sido implantado com sucesso.
"Análises contínuas descobriram evidências sugerindo envolvimento do grupo de ransomware russo 'BianLian' e dos operadores da família de ransomware 'RansomEXX' (rastreados pela Microsoft como 'Storm-2460')," disse a firma de cibersegurança.
Esses achados revelam um interesse amplo na exploração dessa vulnerabilidade por múltiplos grupos de ameaças.
A ReliaQuest ligou o BianLian a pelo menos um incidente com "moderada confiança" baseada em um endereço IP usado pelos operadores do grupo de ransomware no passado para hospedar um de seus servidores de comando e controle (C2).
Nos ataques do RansomEXX, os agentes de ameaças implantaram o backdoor modular PipeMagic do grupo e exploraram a vulnerabilidade
CVE-2025-29824
do Windows CLFS abusada em incidentes anteriores ligados a essa operação de ransomware.
"O malware foi implantado apenas horas após a exploração global envolvendo os webshells helper.jsp e cache.jsp.
Embora a tentativa inicial tenha falhado, um ataque subsequente envolveu a implantação do framework Brute Ratel C2 usando execução de tarefa inline MSBuild," adicionou a ReliaQuest.
Pesquisadores de segurança da Forescout Vedere Labs também vincularam esses ataques em andamento a um agente de ameaças chinês que eles rastreiam como Chaya_004, enquanto a EclecticIQ relatou na terça-feira que outros três APTs chineses (ou seja, UNC5221, UNC5174 e CL-STA-0048) também estão visando instâncias do NetWeaver não corrigidas contra o
CVE-2025-31324
.
Com base em arquivos expostos encontrados em um diretório abertamente acessível em um dos servidores desprotegidos desses atacantes, a Forescout diz que eles comprometeram pelo menos 581 instâncias do SAP NetWeaver (incluindo infraestrutura crítica no Reino Unido, nos Estados Unidos e na Arábia Saudita) e planejam visar outros 1.800 domínios.
"O acesso persistente ao backdoor desses sistemas fornece um ponto de apoio para APTs alinhados à China, possibilitando objetivos estratégicos da República Popular da China (RPC), incluindo vantagens militares, de inteligência ou econômicas," disse a Forescout.
Os sistemas SAP comprometidos também estão altamente conectados à rede interna do sistema de controle industrial (ICS), o que representa riscos de movimento lateral, que potencialmente causam interrupção de serviço para espionagem de longo prazo.
Na segunda-feira(12), a SAP também corrigiu uma segunda vulnerabilidade do NetWeaver (
CVE-2025-42999
) usada em cadeia nesses ataques como um zero-day já em março para executar comandos arbitrariamente de forma remota.
Para bloquear tentativas de violação, administradores SAP devem imediatamente aplicar os patches em seus servidores NetWeaver ou considerar a desativação do serviço Visual Composer se uma atualização não for possível.
Restringir o acesso aos serviços de upload de metadados e monitorar atividades suspeitas em seus servidores também é altamente recomendável.
A CISA adicionou a falha
CVE-2025-31324
ao seu Catálogo de Vulnerabilidades Conhecidas Exploradas duas semanas atrás, exigindo que agências federais protejam seus servidores até 20 de maio, conforme exigido pela Diretiva Operacional Obrigatória (BOD) 22-01.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...