Falla crítica de SAP NetWeaver (CVE-2025-31324) Explotado activamente

Una falla de seguridad crítica en el componente Visual Composer de SAP NetWeaver, identificado como CVE-2025-31324, Ha sido explotado activamente por actores de amenazas..

Esta vulnerabilidad permite a atacantes no autenticados cargar archivos maliciosos, lo que podría provocar un compromiso total del sistema. SAP ha lanzado un parche para solucionar este problema., y se insta a las organizaciones a aplicarlo de inmediato.

Descripción técnica de CVE-2025-31324

La vulnerabilidad reside en la /developmentserver/metadatauploader punto final de Visual Composer de SAP NetWeaver. Debido a la falta de comprobaciones de autorización, Los atacantes pueden cargar archivos JSP maliciosos sin autenticación. Una vez cargado en el servlet_jsp/irj/root/ directorio, Estos archivos se pueden ejecutar de forma remota, otorgar a los atacantes control sobre el sistema.

Explotación en la naturaleza

La empresa de seguridad ReliaQuest descubrió que los atacantes están aprovechando esto Vulnerabilidad de SAP para implementar shells web JSP, Facilitar la carga no autorizada de archivos y la ejecución de código. Técnicas avanzadas, Incluyendo el uso de Brute Ratel y el método Heaven's Gate, Se ha observado que mantienen la persistencia y evaden la detección.. En algunos casos, Los atacantes han tardado días en pasar del acceso inicial a una mayor explotación., Sugiriendo la participación de intermediarios de acceso inicial.

Indicadores de compromiso (COI)

• Intentos de acceso no autorizado a la /developmentserver/metadatauploader sendero.
• Archivos JSP inesperados en el servlet_jsp/irj/root/ directorio, tal como helper.jsp y cache.jsp.
• Conexiones salientes inusuales desde sistemas SAP.

Pasos de mitigación

1. Aplicar el parche: Implementar la nota de seguridad de SAP 3594142 para abordar CVE-2025-31324.
2. Acceso restringido: Limitar el acceso a la /developmentserver punto final a través de reglas de firewall.
3. Monitorear registros: Supervisar continuamente los registros de SAP NetWeaver para detectar actividades sospechosas.
4. Inspeccionar Web Shells: Revise regularmente el servlet_jsp/irj/root/ directorio para archivos no autorizados.
5. Deshabilitar Visual Composer: Si no está en uso, Considere deshabilitar el componente Visual Composer para reducir las superficies de ataque.

Las organizaciones que utilizan SAP NetWeaver deben priorizar estos pasos de mitigación para protegerse contra la posible explotación de esta vulnerabilidad crítica..