Uma nova onda de ataques foi detectada contra instâncias do SAP NetWeaver que permanecem comprometidas por uma vulnerabilidade de zero-day, segundo alerta publicado pela empresa de segurança Onapsis.
Leia também
Grupo de ransomware desaparece sem deixar pistas
Ataques de ransomware no agro dobraram em 2024
Identificada como CVE-2025-31324 e classificada com pontuação máxima de severidade (CVSS 10/10), a falha foi adicionada em 24 de abril ao boletim de segurança da SAP, que a descreve como uma verificação de autorização ausente no servidor de desenvolvimento Visual Composer do NetWeaver. A vulnerabilidade permite o envio de arquivos maliciosos para caminhos específicos em servidores afetados.
A ReliaQuest relatou que a exploração in-the-wild começou mesmo em sistemas atualizados, associando os ataques a grupos especializados em acesso inicial. Já a Mandiant identificou atividade maliciosa desde meados de março.
De acordo com a Onapsis, os atacantes implantaram webshells JSP em diretórios raiz dos servidores para executar código, mover-se lateralmente nos ambientes e instalar novas cargas úteis. A empresa afirma agora observar uma segunda fase de ataques, com agentes aproveitando os webshells previamente implantados para retomar o acesso a sistemas ainda vulneráveis.
Para mitigar os riscos, a Onapsis e a Mandiant lançaram uma ferramenta de código aberto para detectar sinais de comprometimento. O scanner identifica sistemas vulneráveis, arquivos executáveis desconhecidos e coleta dados suspeitos para análise.
Mais de 200 servidores NetWeaver acessíveis pela internet permanecem expostos, segundo levantamento da The Shadowserver Foundation. Em 28 de abril, o número superava 400, e chegou a ultrapassar 3.400 antes do dia 1º de maio.
A falha foi incluída em 29 de abril no catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA, com prazo para correção por agências federais dos EUA até 20 de maio.
