Es probable que los actores de amenaza estén explotando una nueva vulnerabilidad en SAP NetWeaver para cargar los shsh Web SHEL con el objetivo de facilitar las cargas de archivos no autorizadas y la ejecución del código.
«La explotación probablemente esté vinculada a una vulnerabilidad previamente revelada como CVE-2017-9844 o un problema de inclusión de archivos remoto (RFI) no reportado «, Reliaquest dicho En un informe publicado esta semana.
La ciberseguridad dijo que la posibilidad de un día cero se deriva del hecho de que varios de los sistemas afectados ya estaban ejecutando los últimos parches.
Se evalúa que el defecto se basa en el punto final «/Developmentserver/MetAdatauploader» en el entorno NetWeaver, lo que permite a los actores de amenaza desconocidos cargar capas web maliciosas basadas en JSP en la ruta «SERVLET_JSP/IRJ/Root/» para el acceso remoto persistente y entregar cargas útiles adicionales.
Dicho de manera diferente, el shell web liviano está configurado para cargar archivos no autorizados, habilitar un control arraigado sobre los hosts infectados, ejecutar código remoto y datos sensibles al sifón.
Se han observado incidentes seleccionados utilizando el Brute Ratel C4 marco posterior a la explotación, así como una técnica bien conocida llamada Puerta del cielo para evitar las protecciones de punto final.
Al menos en un caso, los actores de amenaza tardaron varios días en progresar del acceso inicial exitoso a la explotación de seguimiento, lo que aumenta la posibilidad de que el atacante sea un corredor de acceso inicial (IAB) que está obteniendo y vendiendo acceso a otros grupos de amenazas en foros subterráneos.
«Nuestra investigación reveló un patrón preocupante, lo que sugiere que los adversarios están aprovechando una exploit conocida y combinándolo con una combinación de técnicas en evolución para maximizar su impacto», dijo Reliaquest.
«Las soluciones de SAP son a menudo utilizadas por agencias gubernamentales y empresas, lo que los convierte en objetivos de alto valor para los atacantes. Como las soluciones de SAP a menudo se implementan en las instalaciones, las medidas de seguridad para estos sistemas se dejan a los usuarios; las actualizaciones y parches que no se aplican de inmediato pueden exponer estos sistemas a un mayor riesgo de compromiso».
Casualmente, SAP también tiene liberado Una actualización para abordar una falla de seguridad de gravedad máxima (CVE-2025-31324, puntaje CVSS: 10.0) que un atacante podría explotar para cargar archivos arbitrarios.
«El cargador de metadatos de SAP Netweaver Visual Composer no está protegido con una autorización adecuada, lo que permite que un agente no autenticado cargue binarios ejecutables potencialmente maliciosos que puedan dañar severamente el sistema host», un consultivo para la vulnerabilidad lectura.
Es probable que CVE-2025-31324 se refiera al mismo defecto de seguridad no reportado dado que el primero también afecta el mismo componente de cargador de metadatos. Hacker News se ha comunicado con Reliaquest para hacer más comentarios, y actualizaremos la historia si recibimos noticias.
La divulgación se produce poco más de un mes después de la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) prevenido de explotación activa de otro defecto de Netweaver de alta severidad (CVE-2017-12637) que podría permitir que un atacante obtenga archivos de configuración SAP confidenciales.
