Ha aparecido un nuevo exploit que combina dos vulnerabilidades de seguridad críticas, ya parcheadas, en SAP NetWeaver, poniendo a las organizaciones en riesgo de vulneración de sistemas y robo de datos.
El exploit en cuestión combina las vulnerabilidades CVE-2025-31324 y CVE-2025-42999 para eludir la autenticación y lograr la ejecución remota de código, según informó la empresa de seguridad de SAP, Onapsis.
- CVE-2025-31324 (CVSS: 10.0): Falta la comprobación de autorización en el servidor de desarrollo de Visual Composer de SAP NetWeaver.
- CVE-2025-42999 (CVSS: 9.1): Deserialización insegura en el servidor de desarrollo de Visual Composer de SAP NetWeaver.
SAP abordó las vulnerabilidades en abril y mayo de 2025, pero no antes de que los cibercriminales las utilizaran como vulnerabilidades Zero-Day desde marzo.
Se ha observado que varios grupos de ransomware y extorsión de datos, como Qilin, BianLian y RansomExx, utilizan estas vulnerabilidades como arma, además de varios equipos de espionaje con vínculos con China que también las han utilizado en ataques dirigidos a redes de infraestructura crítica.
La existencia del exploit fue reportada por primera vez la semana pasada por vx-underground, que afirmó haber sido publicado por Scattered Lapsus$ Hunters, una nueva alianza formada por Scattered Spider y ShinyHunters.
"Estas vulnerabilidades permiten a un atacante no autenticado ejecutar comandos arbitrarios en el sistema SAP objetivo, incluyendo la carga de archivos arbitrarios", declaró Onapsis. "Esto puede provocar la ejecución remota de código (RCE) y el control total del sistema afectado, así como de los datos y procesos empresariales de SAP".
El exploit no solo puede utilizarse para implementar web shells, sino que también puede utilizarse para llevar a cabo ataques de tipo "living off the land" (LotL) mediante la ejecución directa de comandos del sistema operativo sin necesidad de instalar artefactos adicionales en el sistema comprometido. Estos comandos se ejecutan con privilegios de administrador de SAP, lo que otorga a los atacantes acceso no autorizado a los datos y recursos del sistema de SAP.
En concreto, la cadena de ataque utiliza primero CVE-2025-31324 para eludir la autenticación y cargar la carga maliciosa al servidor. Posteriormente, se explota la vulnerabilidad de deserialización (CVE-2025-42999) para descomprimir la carga y ejecutarla con permisos elevados.
"La publicación de este dispositivo de deserialización es especialmente preocupante debido a que puede reutilizarse en otros contextos, como la explotación de las vulnerabilidades de deserialización que SAP parcheó recientemente en julio", advirtió Onapsis.
- CVE-2025-30012 (CVSS 10.0)
- CVE-2025-42963 (CVSS 9.1)
- CVE-2025-42964 (CVSS 9.1)
- CVE-2025-42966 (CVSS 9.1)
- CVE-2025-42980 (CVSS 9.1)
La empresa describe a los actores de la amenaza como poseedores de un amplio conocimiento de las aplicaciones de SAP e insta a los usuarios de SAP a aplicar las últimas correcciones lo antes posible, revisar y restringir el acceso a las aplicaciones de SAP desde Internet y monitorear las aplicaciones de SAP para detectar cualquier signo de compromiso.
La empresa RedRays ha publicado un extenso informe detallado y un Scanner para la vulnerabilidad CVE-2025-31324 .
Fuente: THN