Vulnerabilidad Crítica en SAP NetWeaver

Recientemente, se ha descubierto una nueva vulnerabilidad que está siendo explotada en la naturaleza, la cual está identificada como CVE-2025-31324, con la máxima puntuación de CVSS que es 10, siendo esta la puntuación de severidad más alta, lo que la categoriza como una vulnerabilidad crítica. 

Esta vulnerabilidad afecta a SAP NetWeaver específicamente al componente Visual Composer Metadata Uploader de NetWeaver, y provoca verificaciones incorrectas en el componente, permitiendo cargar archivos sin autentificación, ni verificación. Esto permite que actores maliciosos carguen archivos maliciosos sin los permisos necesarios, sin credenciales de autentificación y sin verificación de seguridad del archivo. 

Este CVE es de alta criticidad porque en caso de ser explotada, podría permitir que los actores maliciosos desplieguen código y realicen movimientos laterales, lo que permitiría que tomen el control total del sistema e interrumpan la disponibilidad e integridad del sistema. El 29 de abril de 2025 se ha detectado la explotación activa de esta vulnerabilidad, lo que aumenta la criticidad del CVE porque los autores maliciosos han detectado la vulnerabilidad y la están explotando.

El componente vulnerable antes mencionado de SAP NetWeaver no está habilitado de forma predeterminada en el sistema, pero se ha identificado que más del 50% de los sistemas tienen instalado el componente SAP Visual Compose.

Componente vulnerable SAP Visual Compose
 

Indicadores de Compromiso:

Para determinar si el sistema está comprometido compruebe la raíz de los siguientes directorios del SO para analizar si hay archivos 'jsp', 'java' o 'class'. 

• C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\root 
• C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work 
• C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work\sync 

La presencia de archivos 'jsp', 'java' o 'class' son un indicador de que un actor malicioso ha explotado la vulnerabilidad. 

Indicadores de Compromiso Adicionales:

IOC	Tipo
630ad52d53b9c4f2b571d3b7c39d6eb7	MD5
794cb0a92f51e1387a6b316b8b5ff83d33a51ecf9bf7cc8e88a619ecb64f1dcf	SHA- 256
162.159.36.2	IP
239.255.255.250	IP

 

Versiones Afectadas

Versión afectada

SAP Visual Composer (VCFRAMEWORK) versiones 7. xx

SAP NetWeaver Application Server Java versión 7.50

 

SAP en su página de internet publicó 2 notas para mitigar la vulnerabilidad, la primera nota contiene las versiones que resuelven esta vulnerabilidad, y la segunda nota contiene soluciones alternativas para mitigar la vulnerabilidad:  

• https://me.sap.com/notes/3594142 
• https://me.sap.com/notes/3593336/E 

Recomendaciones

• Actualice lo antes posible a las versiones parcheadas de SAP NetWeaver, según las recomendaciones de la nota publicada por SAP:  https://me.sap.com/notes/3594142 

• En caso de no poder actualizar la versión de SAP NetWeaver, realizar las recomendaciones alternativas de las notas de SAP para mitigar la vulnerabilidad. https://me.sap.com/notes/3593336/E 

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque. 

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

• Habilitar la autenticación multifactor. 

Referencias

1. Perez-Etchegoyen, J. (2025, Abril 29). Active Exploitation of SAP Zero-Day Vulnerability (CVE-2025-31324, SAP Security Note 3594142). Onapsis. Recuperado el 29 de abril de 2025 en: https://onapsis.com/blog/active-exploitation-of-sap-vulnerability-cve-2025-31324/ 
2. Arghire, I. A. (2025, abril 29). Una vulnerabilidad explotada expone a más de 400 servidores SAP NetWeaver a ataques. Securityweek. Recuperado el 29 de abril de 2025 en: https://www.securityweek.com/exploited-vulnerability-exposes-over-400-sap-netweaver-servers-to-attacks/ 
3. LevelBlue - Open Threat Exchange. (2025, Abril 27). LevelBlue Open Threat Exchange. Recuperado el 29 de abril de 2025 en: ​​​​​​​https://otx.alienvault.com/pulse/680f8edde48fae4dbfc01386 

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios