Mais de 1.200 servidores SAP NetWeaver expostos à internet estão vulneráveis a uma falha crítica que permite o sequestro remoto de sistemas sem necessidade de autenticação. A vulnerabilidade, identificada como CVE-2025-31324, foi publicada pela SAP na semana passada e já está sendo usada em ataques ativos.
Leia também
RSA começa neste domingo em São Francisco
Gangue já comercializa RaaS como white label
A falha está presente no componente Metadata Uploader do SAP NetWeaver Visual Composer e permite que invasores enviem arquivos executáveis para os servidores afetados, o que pode levar à execução remota de código e ao controle total do sistema. A SAP publicou uma solução alternativa em 8 de abril de 2024 e, em 25 de abril, liberou uma atualização de segurança que corrige o problema.
Especialistas da ReliaQuest, watchTowr e Onapsis confirmaram a exploração ativa da falha. A Shadowserver Foundation localizou 427 servidores vulneráveis acessíveis publicamente, com maior concentração nos Estados Unidos, Índia, Austrália e China. A Onyphe elevou esse número para 1.284, afirmando que ao menos 474 já foram comprometidos com webshells, incluindo servidores de cerca de 20 empresas da Fortune 500 e Global 500.
As técnicas usadas pelos atacantes incluem webshells com nomes como “cache.jsp” e “helper.jsp”, embora nomes aleatórios também estejam sendo utilizados, dificultando a detecção. A Nextron Research e a RedRays destacaram a gravidade da situação e recomendaram medidas adicionais para mitigação.
Caso a atualização não possa ser aplicada, recomenda-se restringir o acesso ao endpoint afetado, desativar o Visual Composer se não estiver em uso e monitorar logs em busca de arquivos suspeitos. A RedRays também disponibilizou uma ferramenta de varredura para facilitar a identificação de sistemas vulneráveis.
