Exploração de vulnerabilidade crítica compromete centenas de instâncias SAP NetWeaver

A exploração de uma vulnerabilidade de zero day recentemente divulgada comprometeu centenas de instâncias do SAP NetWeaver, o que permite a execução remota de código (RCE) em servidores vulneráveis. A vulnerabilidade, identificada como CVE-2025-31324, foi relatada como explorada pela primeira vez a 22 de abril, dois dias antes de a SAP disponibilizar patches de segurança para corrigir o problema.

A vulnerabilidade, com uma pontuação máxima de 10/10 no CVSS, permite que invasores carreguem executáveis maliciosos para servidores afetados. A empresa de segurança Onapsis, em colaboração com a Mandiant, está a investigar os ataques e a monitorizar a exploração de vulnerabilidades em várias instâncias SAP em várias zonas do mundo.

De acordo com as informações divulgada pela Onapsis, os ataques têm vindo a afetar diversos setores, incluindo energia, manufatura, petróleo e gás, farmacêuticas, assim como organizações governamentais e de media e entretenimento. A empresa também confirmou a presença de webshells nos servidores comprometidos, permitindo aos atacantes manter o acesso e realizar atividades de acompanhamento.

A análise das explorações revelou que, desde janeiro de 2025, os atacantes estava a sondar sistemas vulneráveis e a executar comandos remotos para obter a execução de código. A Onapsis alertou que a exploração da vulnerabilidade não se limita a uplouds arbitrários de arquivos, como inicialmente se pensava, mas pode envolver outros métodos de comprometimento, como webshells.

“A exploração observada demonstra um conhecimento altamente avançado do SAP por parte do grupo responsável pelos ataques”, comentou a Onapsis. A empresa destacou que, mesmo sem os webshells, os cibercriminosos têm conseguido manter a persistência no sistema através da utilização de solicitações HTTP para executar comandos remotos.

A Mandiant e a Onapsis atualizaram recentemente os seus scanners de código aberto para refletir as novas descobertas e ajudar as organizações a identificar indicadores de comprometimento (IoCs) relacionados com a exploração desta vulnerabilidade.

A recomendação para as empresas afetadas é aplicar imediatamente os patches disponibilizados pela SAP ou, caso não seja possível, implementar mitigação e realizar uma avaliação de comprometimento para identificar possíveis consequências do ataque.

Além disso, a Onapsis advrtiu que a exploração da vulnerabilidade pode ser uma ameaça persistente, com os atacantes a manterem o acesso aos sistemas comprometidos mesmo depois de a vulnerabilidade ter sido corrigida. A empresa de segurança indicou que as ações de mitigação e a avaliação de riscos devem ser prioridades para as empresas expostas a esta vulnerabilidade.

Por último, a Forescout revelou que uma segunda onda de ataques, que começou em 29 de abril, foi associada a um grupo de ameaças chinês identificado como Chaya_004. A campanha mais recente foi vinculada diretamente à exploração da vulnerabilidade CVE-2025-31324, com ataques mais direcionados e oportunistas.