Uma vulnerabilidade crítica no SAP NetWeaver, para a qual um patch de emergência foi lançado no final de abril, está sendo explorada em ataques desde janeiro. Além disso, a vulnerabilidade não só permite o upload de arquivos arbitrários, mas também a ‘execução remota completa de comandos’, de acordo com a empresa de segurança Onapsis . Ela afirma em relatório ter identificado centenas de instalações SAP comprometidas.
Leia também
SAP corrige vulnerabilidades críticas no NetWeaver
Patch de urgência no SAP Netweaver Composer
O SAP Netweaver é uma plataforma para executar aplicativos SAP usados em muitos ambientes de negócios. Recentemente, organizações holandesas foram alertadas pelo Digital Trust Center (DTC) do Ministério de Assuntos Econômicos sobre o abuso da vulnerabilidade. O impacto da vulnerabilidade, designada CVE-2025-31324, foi classificado como 10,0 em uma escala de 1 a 10.
Onapsis agora forneceu mais detalhes sobre os ataques. Segundo a empresa, os invasores usaram a vulnerabilidade de 20 de janeiro a 10 de fevereiro para fins de reconhecimento e para testar várias cargas úteis. Após 10 de fevereiro, um aumento nas tentativas de exploração ficou visível. Web shells foram encontrados em servidores SAP comprometidos. Um web shell permite que um invasor mantenha acesso ao servidor e execute outros ataques.
Inicialmente, pensava-se que a vulnerabilidade permitia apenas uploads de arquivos e que era assim que os invasores carregavam os web shells. Onapsis diz que, com base em explorações do mundo real, a vulnerabilidade permite a execução completa de comandos remotos (RCE). Os invasores usaram essa capacidade para implantar os web shells.
De acordo com a Onapsis, os invasores têm amplo conhecimento do SAP. A empresa disse à SecurityWeek que identificou centenas de servidores SAP comprometidos em diversos setores. A Onapsis e a empresa de segurança Mandiant lançaram uma ferramenta de código aberto que permite que organizações verifiquem seus servidores SAP em busca de possíveis explorações do CVE-2025-31324.
