Underc0de

Las bandas de ransomware se han unido a una oleada de ataques dirigidos contra servidores SAP NetWeaver, aprovechando una vulnerabilidad crítica recientemente identificada que permite la ejecución remota de código (RCE) sin necesidad de autenticación. Esta falla de seguridad, registrada como CVE-2025-31324, afecta directamente al componente NetWeaver Visual Composer, y está siendo explotada activamente por múltiples actores de amenazas.

CVE-2025-31324: Vulnerabilidad de carga de archivos no autenticados

El pasado 24 de abril, SAP lanzó parches de emergencia para mitigar esta falla, que permite a los atacantes cargar archivos maliciosos sin necesidad de credenciales. Esta vulnerabilidad fue inicialmente identificada como objetivo de ataques reales por la firma de ciberseguridad ReliaQuest.

Una explotación exitosa de CVE-2025-31324 puede derivar en el compromiso total del sistema SAP afectado, lo que representa una amenaza crítica para organizaciones que dependen de esta plataforma para operaciones empresariales clave.

Participación de grupos de ransomware: RansomEXX y BianLian

En una actualización reciente, ReliaQuest reveló que los operadores de ransomware RansomEXX y BianLian han comenzado a explotar esta vulnerabilidad, aunque sin lograr desplegar cargas útiles efectivas hasta el momento.

Citar"El análisis continuo ha descubierto evidencia que sugiere la participación del grupo de ransomware ruso BianLian y de los operadores de RansomEXX (identificados por Microsoft como Storm-2460)", explicó ReliaQuest.

La firma también vinculó con "confianza moderada" a BianLian con un incidente previo basado en direcciones IP asociadas a servidores de comando y control (C2). Por su parte, en los ataques atribuidos a RansomEXX, se desplegó la puerta trasera modular PipeMagic, y se aprovechó la vulnerabilidad CVE-2025-29824 en Windows CLFS, usada en ataques anteriores.

Citar"El malware fue implementado pocas horas después de la explotación, utilizando los webshells helper.jsp y cache.jsp. Aunque el intento inicial fracasó, un ataque posterior desplegó el marco Brute Ratel C2 a través de tareas en línea con MSBuild", agregó ReliaQuest.

Interés de actores estatales: grupos APT chinos también están involucrados

Los ataques contra SAP NetWeaver no se limitan a bandas de ransomware. Según investigaciones de Forescout Vedere Labs, un grupo de ciberespionaje chino, etiquetado como Chaya_004, también está explotando la vulnerabilidad CVE-2025-31324. Además, EclecticIQ informó que otras tres APT chinas —UNC5221, UNC5174 y CL-STA-0048— están participando en la campaña.

Forescout detectó evidencia de que estos actores ya han comprometido 581 instancias de SAP NetWeaver, muchas de ellas pertenecientes a infraestructuras críticas en países como Reino Unido, Estados Unidos y Arabia Saudita, y tienen planes de atacar otros 1.800 dominios adicionales.

Citar"El acceso persistente mediante puertas traseras en estos sistemas proporciona un punto de apoyo para operaciones de inteligencia, espionaje económico o ventaja militar por parte de la República Popular China", advirtió Forescout.
"Los sistemas SAP comprometidos están profundamente integrados con redes de control industrial (ICS), lo que eleva el riesgo de movimientos laterales y posibles interrupciones operativas a largo plazo".

Segunda vulnerabilidad crítica: CVE-2025-42999

Además de la falla principal, SAP también ha parcheado una segunda vulnerabilidad crítica en NetWeaver: CVE-2025-42999, la cual fue explotada como día cero en marzo de 2025. Esta nueva falla permite la ejecución remota de comandos arbitrarios y fue utilizada en cadena con CVE-2025-31324 en algunos ataques.

Medidas de mitigación urgentes para administradores SAP

Para proteger los entornos corporativos frente a estas amenazas cibernéticas, se recomienda:

• Aplicar de inmediato los parches de seguridad proporcionados por SAP.
• En caso de no poder actualizar, deshabilitar el servicio Visual Composer de SAP NetWeaver.
• Restringir el acceso a los servicios de carga de metadatos.
• Implementar monitoreo continuo y análisis de comportamiento ante actividades sospechosas en los servidores.

Adicionalmente, la Agencia de Ciberseguridad e Infraestructura (CISA) de EE.UU. ha incluido CVE-2025-31324 en su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Según la Directiva Operativa Vinculante BOD 22-01, todas las agencias federales deben aplicar las mitigaciones necesarias antes del 20 de mayo de 2025.

Fuente: https://www.bleepingcomputer.com/