Riesgo en Exposición Externa

En enero de 2025, la comunidad de ciberseguridad fue sorprendida por una campaña de ataques dirigidos a servidores SAP NetWeaver, iniciada a partir de la explotación de una vulnerabilidad de día cero. Lo que en un principio parecía una amenaza aislada escaló rápidamente a una situación crítica tras la identificación de una explotación encadenada de dos fallos severos: CVE-2025-31324 y CVE-2025-42999.

Estos ataques permitieron a los actores maliciosos sortear los controles de autenticación y ejecutar código arbitrario en los sistemas sin contar con privilegios previos. La explotación coordinada de ambas vulnerabilidades supuso una grave amenaza para los entornos SAP, ampliamente utilizados por organizaciones gubernamentales y grandes corporaciones para gestionar recursos empresariales críticos.

Hace dos años realizamos una publicación sobre remediaciones realizadas por SAP.

CVE-2025-31324: Carga de archivos no autorizados

La primera vulnerabilidad, corregida por SAP en abril de 2025, reside en SAP Visual Composer. El fallo permite a un atacante cargar archivos sin autorización en el servidor, lo que abre la puerta a la inyección de web shells y la ejecución de comandos en el sistema. En este contexto, los atacantes tienen la capacidad de controlar remotamente el servidor afectado, comprometer datos o pivotar hacia otras partes de la red interna.

Este tipo de vulnerabilidad, aunque conceptualmente sencilla, es altamente peligrosa, ya que su explotación no requiere privilegios elevados ni autenticación. La sola exposición del sistema es suficiente para que se lleve a cabo el ataque.

CVE-2025-42999: Deserialización insegura

Más preocupante aún es la vulnerabilidad CVE-2025-42999, relacionada con la deserialización insegura. Esta técnica es bien conocida en el ámbito de la seguridad y ha sido responsable de múltiples incidentes en diversas plataformas. En el caso específico de SAP NetWeaver, esta falla permite a los atacantes ejecutar comandos maliciosos utilizando el rol de un usuario legítimo —en este caso, un usuario con permisos de “VisualComposerUser”.

Aunque SAP aún no ha confirmado oficialmente que esta vulnerabilidad haya sido explotada en entornos reales, informes de Onapsis indican que ambas fallas comenzaron a ser utilizadas en conjunto desde enero de 2025. Este tipo de explotación encadenada es cada vez más común, ya que permite ampliar significativamente el impacto de un solo punto de entrada.

Explotación activa y malware detectado

La amenaza no quedó en el plano teórico. Varias firmas de ciberseguridad, entre ellas ReliaQuest, detectaron actividad maliciosa concreta en servidores comprometidos. Los atacantes utilizaron estas vulnerabilidades para desplegar shells web basados en JSP, lo cual les otorgó control persistente sobre los sistemas. Además, se identificó el uso de Brute Ratel, una herramienta de uso frecuente en pruebas de penetración avanzadas (red teaming), pero también adoptada por grupos maliciosos debido a su capacidad de evadir defensas modernas.

Otros equipos como watchTowr y Onapsis también reportaron casos donde instancias de SAP NetWeaver, expuestas a Internet y sin configuraciones de seguridad adecuadas, fueron utilizadas para instalar puertas traseras y establecer canales de comunicación encubiertos con los atacantes.

¿Por qué es tan grave?

SAP NetWeaver es el núcleo de muchos sistemas empresariales. Si bien su arquitectura es robusta, cualquier vulnerabilidad en sus componentes expone a las organizaciones a pérdida de datos confidenciales, interrupciones operativas y compromisos a gran escala. El hecho de que estas vulnerabilidades permitan ejecución de código sin autenticación las convierte en herramientas extremadamente poderosas para adversarios sofisticados.

Aún más preocupante es que, debido al amplio uso de SAP en infraestructuras críticas, un ataque exitoso podría afectar no solo al negocio atacado, sino también a su cadena de suministro y ecosistema digital.

Recomendaciones clave

1. Aplicación inmediata de parches: Todos los sistemas con SAP Visual Composer deben actualizarse con los parches publicados en abril y mayo de 2025.

2. Restricción del acceso público: Las instancias de SAP NetWeaver no deben estar expuestas directamente a Internet. Su acceso debe estar segmentado y monitoreado.

3. Análisis de logs y comportamientos anómalos: Buscar signos de carga de archivos sospechosos, uso de JSP o ejecución de comandos no autorizados.

4. Auditoría de roles y permisos: Validar si existen usuarios con el rol “VisualComposerUser” y revisar su nivel de acceso.

5. Implementación de controles de deserialización segura: Evaluar mecanismos de validación de objetos y filtros de entrada para prevenir ataques similares.

6. Segmentación y microsegmentación de redes: Minimizar la superficie de ataque interna para limitar movimientos laterales.

7. Educación continua al personal técnico: Mantener a los equipos de TI informados sobre las amenazas emergentes y las mejores prácticas de mitigación.

? #CiberseguridadEmpresarial ? #SAPNetWeaver ?️ #GestiónDeVulnerabilidades ? #ZeroDay ? #AuditoríaTI ? #SeguridadAplicaciones ? #ActualizacionesCríticas ? #ConcienciaCibernética ⚠️ #AmenazasPersistentes ?‍? #RedTeam