SAP Zero-Day visado desde janeiro

14/05/2025 mindsecblog Notícias 0

SAP Zero-Day visado desde janeiro, muitos setores impactados

Centenas de instâncias do SAP NetWeaver foram hackeadas por meio de um ataque de dia zero que permite execução remota de código, não apenas uploads arbitrários de arquivos, como se acreditava inicialmente.

Centenas de instâncias do SAP NetWeaver foram comprometidas pela exploração de uma vulnerabilidade de dia zero recentemente divulgada que pode levar à execução remota de código (RCE).

O problema, rastreado como CVE-2025-31324 (pontuação CVSS de 10/10), foi sinalizado como explorado em 22 de abril, dois dias antes da SAP lançar patches para ele , alertando que ele permite que invasores carreguem executáveis maliciosos para servidores vulneráveis.

A empresa de segurança de aplicativos corporativos Onapsis vem investigando os ataques junto com a Mandiant e disse esta semana que os agentes de ameaças estavam revisitando servidores NetWeaver comprometidos para aproveitar webshells implantados anteriormente para atividades de acompanhamento.

Na quinta-feira, a empresa de segurança cibernética disse à SecurityWeek que está rastreando centenas de instâncias SAP no mundo todo que foram ativamente comprometidas pela exploração.

“Onapsis e Mandiant estão enfrentando exploração em diversos setores e regiões, incluindo comprometimentos confirmados em energia e serviços públicos, manufatura, mídia e entretenimento, petróleo e gás, produtos farmacêuticos, varejo e organizações governamentais”, disse Onapsis.

A análise de uma exploração do mundo real, diz a empresa de segurança cibernética, revelou que os agentes de ameaças estavam mirando o bug para obter RCE desde 20 de janeiro de 2025, quando começaram a sondar os sistemas vulneráveis.

Os webshells discutidos publicamente, alerta a Onapsis em uma publicação técnica atualizada no blog, provavelmente foram enviados para servidores vulneráveis após a execução de outros comandos RCE durante a fase de reconhecimento dos ataques iniciais. O bug não se limita a envios arbitrários de arquivos, como se acreditava inicialmente.

“A exploração observada demonstra conhecimento altamente avançado do SAP por parte do grupo de agentes de ameaças responsável”, observa Onapsis.

A empresa de segurança cibernética insta os defensores a atualizarem seus manuais, alertando que “comprometimento e persistência baseados em sobrevivência são possíveis sem webshells”. Os agentes de ameaças têm enviado solicitações POST, HEAD ou GET ao componente vulnerável para executar comandos arbitrários remotamente.

A Mandiant e a Onapsis atualizaram seu scanner de código aberto para refletir as descobertas mais recentes e ajudar as organizações a buscar melhor indicadores de comprometimento (IoCs).

“A aplicação de patches para CVE-2025-31324, a mitigação caso não seja possível aplicar patches e, caso seja exposto, a avaliação do comprometimento devem ser prioridades críticas”, afirma Onapsis.

Embora uma segunda onda de ataques contra servidores previamente comprometidos tenha sido em grande parte oportunista por natureza, o Forescout vinculou na quinta-feira uma campanha de ataque mais recente direcionada ao CVE-2025-31324 — que começou em 29 de abril — a um agente de ameaça chinês rastreado como Chaya_004.

Fonte: SecurityWeek