SAP corrige falla crítica de día cero en NetWeaver explotada activamente

SAP ha emitido una actualización de seguridad de emergencia fuera de banda para abordar una vulnerabilidad crítica de ejecución remota de código (RCE) en SAP NetWeaver, identificada como CVE-2025-31324. Esta vulnerabilidad está siendo explotada activamente por ciberdelincuentes para secuestrar servidores empresariales, comprometer sistemas y desplegar cargas maliciosas.

¿Qué es CVE-2025-31324?

La falla, catalogada con una puntuación CVSS v3 de 10.0, afecta al componente Metadata Uploader de SAP NetWeaver Visual Composer Framework versión 7.50. Se trata de una vulnerabilidad de carga de archivos no autenticada, lo que significa que los atacantes pueden cargar archivos maliciosos sin necesidad de iniciar sesión.

Una vez cargados, estos archivos pueden ejecutarse de forma remota, permitiendo a los atacantes tomar control total del sistema afectado.

Explotación activa y hallazgos de seguridad

Aunque SAP aún no ha publicado el boletín completo, ReliaQuest fue la primera firma en alertar sobre la explotación activa de esta falla, indicando que se explota específicamente el endpoint /developmentserver/metadatauploader. Según sus hallazgos:

• Varios clientes ya han sido comprometidos mediante cargas de archivos JSP no autorizados.
• Los atacantes utilizaron simples solicitudes HTTP GET para ejecutar comandos desde el navegador.
• Se observaron capacidades de administración de archivos, como carga, descarga y ejecución remota.

En la fase post-explotación, los actores de amenazas desplegaron herramientas avanzadas como Brute Ratel y técnicas evasivas como Heaven's Gate, además de inyectar código en dllhost.exe para evitar detección.

Lo más alarmante es que los sistemas comprometidos estaban completamente parcheados antes de esta explotación, lo que confirma que se trató de un exploit de día cero.

Confirmaciones adicionales y declaraciones oficiales

La firma de seguridad watchTowr también confirmó a BleepingComputer que han observado explotación activa de la vulnerabilidad. El CEO, Benjamin Harris, advirtió que los atacantes están usando esta falla para instalar puertas traseras (web shells) y obtener persistencia en sistemas vulnerables:

Citar"Los atacantes no autenticados pueden abusar de esta funcionalidad para lograr ejecución remota de código y compromiso total del sistema".

Además, Harris anticipa que la explotación se expandirá rápidamente a medida que más actores maliciosos se enteren de esta vulnerabilidad crítica.

Por su parte, SAP, en respuesta a las consultas de BleepingComputer, negó haber confirmado compromisos exitosos:

Citar"SAP fue informado de una vulnerabilidad que podría permitir ejecución de código no autenticado. No tenemos conocimiento de incidentes que afecten a los clientes. Ya se ha publicado un parche desde el 8 de abril de 2025 y se recomienda aplicarlo de inmediato".

Sin embargo, Onapsis, firma especializada en seguridad para entornos SAP, también confirmó la observación de explotación activa en sus análisis.

¿Qué versiones están afectadas?

La vulnerabilidad CVE-2025-31324 afecta a SAP NetWeaver Visual Composer Framework 7.50. Es importante destacar que la actualización regular publicada el 8 de abril de 2025 no corrige esta falla, por lo que se requiere aplicar el parche de emergencia lanzado posteriormente.

Otras vulnerabilidades abordadas en el parche de emergencia

Además de CVE-2025-31324, la actualización corrige otras dos fallas críticas:

• CVE-2025-27429: vulnerabilidad de inyección de código en SAP S/4HANA.
• CVE-2025-31330: vulnerabilidad de inyección de código en SAP Landscape Transformation.

Medidas de mitigación recomendadas

Si no es posible aplicar el parche de inmediato, se recomienda implementar las siguientes acciones:

• Restringir el acceso al endpoint /developmentserver/metadatauploader.
• Desactivar Visual Composer, si no está en uso dentro del entorno SAP.
• Monitorear los registros del sistema (logs) mediante herramientas SIEM para detectar archivos no autorizados cargados a través del servlet.
• Ejecutar un análisis forense para identificar y eliminar webshells u otros archivos sospechosos antes de realizar cualquier mitigación.

Acción inmediata requerida

La explotación activa de CVE-2025-31324 representa una grave amenaza para la infraestructura empresarial basada en SAP NetWeaver. La facilidad de explotación sin autenticación, combinada con el impacto potencial de un compromiso total del sistema, hace que esta vulnerabilidad sea una de las más críticas del año en entornos SAP.

Es crucial que los administradores de sistemas y equipos de seguridad apliquen el parche de emergencia lo antes posible, o en su defecto, implementen las medidas de mitigación sugeridas mientras se completa el despliegue de la actualización.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta