Now Reading: Segunda ola de ataques contra SAP NetWeaver por vulnerabilidad crítica (CVE-2025-31324)
-
01
Segunda ola de ataques contra SAP NetWeaver por vulnerabilidad crítica (CVE-2025-31324)
Segunda ola de ataques contra SAP NetWeaver por vulnerabilidad crítica (CVE-2025-31324)
Una segunda ola de ciberataques está impactando sistemas SAP NetWeaver, aprovechando la vulnerabilidad crítica CVE-2025-31324, recientemente incorporada al catálogo de Vulnerabilidades Conocidas y Explotadas (KEV) por la agencia CISA.
?️ Detalles de la vulnerabilidad
- CVE: CVE-2025-31324
- Tipo: Bypass de autenticación
- Tecnología afectada: SAP NetWeaver (Visual Composer)
- Impacto: Ejecución remota de código (RCE), instalación de webshells, movimiento lateral, acceso no autorizado a dispositivos/sistemas
- CVSS: 10.0 (Crítico)
- Explotación activa: Confirmada
- PoC pública: No disponible (al momento)
? Contexto
La vulnerabilidad se origina por una falta de verificación de autorizaciones en Visual Composer, lo cual permite que actores maliciosos carguen archivos JSP maliciosos en rutas sensibles de servidores expuestos. A pesar de que SAP lanzó un parche el 24 de abril, ya se observaba explotación activa desde marzo.
Organizaciones como ReliaQuest, Mandiant y Onapsis han detectado una segunda fase de ataques donde actores oportunistas reutilizan webshells dejados por intrusos anteriores para seguir explotando entornos no actualizados.
? Herramientas y detección
Onapsis liberó una herramienta de código abierto para detectar indicadores de compromiso (IoCs), incluyendo:
- Escaneo de sistemas vulnerables
- Búsqueda de archivos ejecutables sospechosos
- Extracción de archivos para análisis posterior
- Reglas YARA actualizadas para detectar webshells
? Riesgo Global
Según datos recientes, más de 200 instancias de SAP NetWeaver accesibles desde internet siguen expuestas, aunque este número ha descendido desde el pico de más de 3.400 servidores detectado antes del 1 de mayo.
? Recomendaciones
- Aplicar inmediatamente los parches de seguridad publicados por SAP (abril 2025).
- Ejecutar escaneos internos para detectar IoCs.
- Aislar sistemas comprometidos y realizar análisis forense.
- Implementar monitoreo continuo de directorios sensibles.
⚠️ Fecha límite de mitigación obligatoria para agencias federales de EE.UU.: 20 de mayo de 2025.
La amenaza está activa y en evolución.
Fuente del CVE y más información técnica:
? https://www.cvedetails.com/cve/CVE-2025-31324/
Related Posts
Stay Informed With the Latest & Most Important News
Previous Post
Next Post
Advertisement
frenify: Thank you for your kind words! We’re glad you enjoyed the post. Stay tuned for more content – we’ve got plenty more coming your way.
frenify: I really enjoyed reading this. The content is informative, and the layout makes it so easy to follow. Looking forward to more posts like this! Keep up the great work!