Uma falha crítica de segurança no componente Visual Composer do SAP NetWeaver, identificado como CVE-2025-31324, foi explorado ativamente por agentes de ameaças.
Esta vulnerabilidade permite que invasores não autenticados carreguem arquivos maliciosos, levando a um potencial comprometimento total do sistema. A SAP lançou um patch para resolver esse problema, e as organizações são instadas a aplicá-lo imediatamente.
Visão geral técnica do CVE-2025-31324
A vulnerabilidade reside na /developmentserver/metadatauploader ponto final do Visual Composer do SAP NetWeaver. Devido à falta de verificações de autorização, invasores podem enviar arquivos JSP maliciosos sem autenticação. Uma vez carregado para o servlet_jsp/irj/root/ diretório, esses arquivos podem ser executados remotamente, concedendo aos invasores controle sobre o sistema.
Exploração na Natureza
A empresa de segurança ReliaQuest descobriu que os invasores estão aproveitando isso Vulnerabilidade SAP para implantar shells web JSP, facilitando uploads de arquivos não autorizados e execução de código. Técnicas avançadas, incluindo o uso de Brute Ratel e o método Heaven's Gate, foram observados mantendo a persistência e evitando a detecção. Em alguns casos, os invasores levaram dias para passar do acesso inicial para uma exploração posterior, sugerindo o envolvimento de corretores de acesso inicial.
Indicadores de Compromisso (COIs)
- Tentativas de acesso não autorizado ao
/developmentserver/metadatauploadercaminho. - Arquivos JSP inesperados no
servlet_jsp/irj/root/diretório, tal comohelper.jspecache.jsp. - Conexões de saída incomuns de sistemas SAP.
Etapas de mitigação
- Aplique o Patch: Implementar nota de segurança SAP 3594142 para abordar CVE-2025-31324.
- Acesso restrito: Limitar o acesso ao
/developmentserverponto final por meio de regras de firewall. - Registros de monitoramento: Monitore continuamente os logs do SAP NetWeaver em busca de atividades suspeitas.
- Inspecionar conchas da Web: Verifique regularmente o
servlet_jsp/irj/root/diretório para arquivos não autorizados. - Desativar o Visual Composer: Se não estiver em uso, considere desabilitar o componente Visual Composer para reduzir as superfícies de ataque.
As organizações que usam o SAP NetWeaver devem priorizar essas etapas de mitigação para se proteger contra a exploração potencial dessa vulnerabilidade crítica.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: