Un nuevo exploit combina dos fallas de seguridad importantes, actualmente parcheadas de SAP Netweaver, que emergen en la naturaleza, y las organizaciones asumen el riesgo de compromiso del sistema y robo de datos.
La exploit en cuestión encadenará CVE-2025-31324 y CVE-2025-42999 para evitar la autenticación y habilitar la ejecución de código remoto, dijo la compañía de seguridad de SAP Onapsis.
CVE-2025-31324 (puntaje CVSS: 10.0)-Verificación de autorización faltante para el servidor de desarrollo del compositor visual CVE-2025-42999 (puntaje CVSS: 9.1) para SAP Netweaver
La vulnerabilidad fue abordada por SAP en abril y mayo de 2025, pero no antes de ser abusado como el día cero por los actores de amenaza al menos desde marzo.
Se ha observado que varios grupos de ransomware y datos TIR, incluidos Qilin, Bianlian y Ransomexx, arman las fallas, sin mencionar a los espinistas chinos y Nexus que también los usan en ataques dirigidos a las redes de infraestructura críticas.
La existencia de exploits fue reportada por primera vez la semana pasada por VX-subground. Dijo que fue liberado por el disperso Lapsus $ cazadores, una nueva alianza fluida formada por arañas dispersas y cazadores brillantes.
«Estas vulnerabilidades permiten a los atacantes no certificados ejecutar comandos arbitrarios en el sistema SAP de destino, incluida la carga de cualquier archivo», dijo Onapsis. «Esto podría conducir a la ejecución de código remoto (RCE) y completar la adquisición de datos y procesos comerciales para los sistemas afectados y SAP».
Según la compañía, los exploits no solo se pueden utilizar para implementaciones de shell web, sino que también se pueden armarse para llevar a cabo ataques de estadía (LOTL) ejecutando directamente los comandos del sistema operativo sin dejar artefactos adicionales en sistemas comprometidos. Estos comandos se ejecutan con los privilegios del administrador de SAP y se otorgan a los malos actores que permiten el acceso no autorizado a los datos de SAP y los recursos del sistema.
Específicamente, la cadena de ataque utiliza primero CVE-2025-31324 para evitar la autenticación y cargar la carga útil maliciosa al servidor. Luego explota la vulnerabilidad de la deserialización (CVE-2025-42999) para desempacar la carga útil y ejecutarla con mayores permisos.
«La publicación de este dispositivo de escape se preocupa particularmente debido al hecho de que se puede reutilizar en otros contextos, como aprovechar la vulnerabilidad de escape recientemente parcheada por SAP en julio», advirtió Onapsis.
Esto es –
Al describir a los actores de amenaza como un amplio conocimiento de las aplicaciones SAP, la compañía alienta a los usuarios de SAP a aplicar las últimas soluciones lo más rápido posible para ver y restringir el acceso a aplicaciones SAP desde Internet y monitorear las aplicaciones SAP para obtener signos de compromiso.
Source link
