SAP ha publicado actualizaciones de emergencia NetWeaver para corregir un supuesto defecto de día cero en el código (RCE) explotado activamente para desviar los servidores.
Vulnerabilidad, seguida bajo CVE-2025-31324 y crítico crítico (CVSS V3 Score: 10.0), es una vulnerabilidad para descargar archivos no autenticados en SAP NetWeaver Visual Composer, en particular el componente de descarga de metadatos.
Permite a los atacantes descargar archivos ejecutables maliciosos sin tener que conectarse, lo que puede conducir a la ejecución del código remoto y un compromiso completo del sistema.
Aunque el Boletín del vendedor No es público, Raviaquest informó a principios de esta semana sobre una vulnerabilidad explotada activamente en SAP Netweaver Visual Composer, en particular el punto final ” / DevelOfelserver / Metadatauader”, que se alinea en CVE-2025-31324.
Rediadores reportado Que varios clientes se hayan comprometido a través de descargas de archivos no autorizadas en SAP Netweaver, atacantes que descargan WebShells de JSP a directorios accesibles para el público.
Estas descargas permitieron la ejecución del código remoto a través de simples solicitudes GET a los archivos JSP, permitiendo la ejecución del comando del navegador, acciones de administración de archivos (descargar / descargar) y más.
En la fase posterior a la explotación, los atacantes desplegaron la herramienta del equipo rojo “ Brute Ralate ”, la técnica de evitar la seguridad “ Gate Heaven’s Gate ‘e inyectado del código compilado MSBuild en dllhost.exe para furtivo.
Raviaquet señaló en el informe que la explotación no requirió autenticación y que los sistemas comprometidos se corrigieron por completo, lo que indica que fueron atacados por una hazaña de día cero.
La compañía de seguridad WatchToWr también ha confirmado que Bleeping completa que señala una explotación activa vinculada al CVE-2025-31324.
“Los atacantes no autenticados pueden abusar de las características integradas para descargar archivos arbitrarios en un cuerpo de SAP Netweaver, lo que significa una ejecución completa del código remoto y un compromiso total del sistema”, dijo Benjamin Harris, CEO de Watchtowr, dijo Benjamin Harris.
“WatchToWr está experimentando una explotación activa por parte de los actores de amenaza, quienes usan esta vulnerabilidad para eliminar los plazos de shell web en los sistemas expuestos y el acceso más”.
“Esta explotación activa en los saltos y este impacto generalizado hace que sea increíblemente probable que pronto veamos una explotación prolífica por varias partes”.
BleepingCompute contactó a SAP con preguntas sobre la explotación activa, pero no ha recibido ninguna respuesta en este momento.
Proteger contra los ataques ahora
La vulnerabilidad tiene un impacto en el marco del Visual Composer 7.50 y la acción recomendada consiste en aplicar la última solución.
Esta actualización de seguridad de emergencia se puso a disposición después de la SAP regular Actualización de “Abril 2025”Entonces, si aplicó esta actualización a principios de este mes (publicada el 8 de abril de 2025), todavía es vulnerable a CVE-2025-31324.
Además, la actualización de emergencia incluye correctivos para dos vulnerabilidades más críticas, a saber, CVE-20125-27429 (inyección de código en SAP S / 4HANA) y CVE-2025-31330 (inyección de código en la transformación del paisaje SAP).
Se recomienda aquellos que no pueden aplicar actualizaciones que se acerquen al CVE-2025-31324 para realizar las siguientes atenuaciones:
- Acceso de restauración al extremo / desarrollador / Metadatauader Point.
- Si no se usa el compositor visual, planifique desactivarlo por completo.
- Transfiera los periódicos a SIEM y busque archivos no autorizados en la ruta de servlet.
Reliaquet recomienda llevar a cabo un análisis ambiental en profundidad para ubicar y eliminar archivos sospechosos antes de aplicar atenuaciones.