Milhares de aplicações afetados por vulnerabilidade crítica zero day

Milhares de aplicações SAP estarão potencialmente afetadas por uma vulnerabilidade crítica zero day.

Rastreada como CVE-2025-31324, a vulnerabilidade, já explorada em ataques de execução de código, é descrita como uma falha na autorização adequada no componente Visual Composer Metadata Uploader do SAP NetWeaver, tendo por objetivo facilitar uploads de arquivos não autorizados e execução de código.

A falha foi descoberta pela ReliaQuest durante uma investigação sobre ataques a vários clientes. A vulnerabilidade foi já utilizada como arma em ataques contra organizações que executam instalações SAP totalmente corrigidas.

O shell da Web JSP é configurado para fazer upload de arquivos não autorizados, permitir o controlo consolidado sobre os hosts infetados, executar código remoto e desviar dados confidenciais.

De acordo com a investigação e os ataques observados, os cibercriminosos aproveitam a asuência de verificação de autorização no Metadata Uploader para fazerem upload de arquivos webshell JSP maliciosos.

Num relatório publicado na semana passada, a ReliaQuest afirma que a exploração reportada pela SAP “está provavelmente ligada a uma vulnerabilidade divulgada anteriormente, como CVE-2017-9844, ou a um problema de inclusão remota de arquivos (RFI) não relatado”. A informação foi, entretanto, confirmada pela empresa ao The Hacker News.

“A nossa investigação revelou um padrão preocupante, sugerindo que os adversários estão a aproveitar uma exploração conhecida e a combiná-la com uma mistura de técnicas em evolução para maximizar o seu impacto”, revelou a ReliaQuest.

Neste caso, a possibilidade de uma vulnerabilidade zero day decorre do facto de os vários sistemas afetados estarem já a executar patches mais recentes.

A SAP procedeu já à atualização do comunicado do Security Patch Day de abril de 2025 de forma a incluir uma nota sobre a vulnerabilidade em questão.

“O SAP NetWeaver Visual Composer Metadata Uploader não é protegido com uma autorização adequada, permitindo que um agente não autenticado carregue binários executáveis potencialmente maliciosos que podem prejudicar gravemente o sistema host”, revela o comunicado para a vulnerabilidade.

De acordo com a empresa de segurança Onapsis, a vulnerabilidade pode expor mais de dez mil aplicações SAP a ataques.

“A exploração concede aos cibercriminosos controlo total sobre os processos e informações críticas de negócios da SAP, o que pode resultar em espionagem, sabotagem e fraude. Os clientes que utilizam o componente vulnerável em ambientes Cloud / RISE with SAP, modelos de implantação nativos cloud e no local, são afetados”, afirmou a Onapsis em declarações à SecurityWeek.

As organizações que utilizam sistemas SAP são aconselhadas a implementar a monitorização de segurança adequada e a manter cronogramas regulares de patches para minimizar a exposição futura a ameaças.