Falha crítica no SAP NetWeaver é explorada para instalar Web Shell e Framework Brute Ratel

Hackers estão explorando uma nova vulnerabilidade crítica no SAP NetWeaver para instalar web shells JSP, com o objetivo de facilitar o upload não autorizado de arquivos e a execução remota de código. A descoberta foi divulgada nesta semana pela empresa de cibersegurança ReliaQuest, que aponta para a possibilidade de a exploração estar ligada a uma falha previamente conhecida, como a CVE-2017-9844, ou a um problema de inclusão de arquivo remoto (RFI) ainda não reportado.

A ReliaQuest levanta a hipótese de se tratar de uma vulnerabilidade zero-day, visto que diversos sistemas afetados já estavam rodando as últimas atualizações de segurança. A falha reside no endpoint "/developmentserver/metadatauploader" do ambiente NetWeaver, permitindo que invasores desconhecidos carreguem web shells maliciosos baseados em JSP no caminho "servlet_jsp/irj/root/", garantindo acesso remoto persistente e a capacidade de entregar payloads adicionais.

Em termos práticos, o web shell leve em JSP é configurado para realizar uploads não autorizados, estabelecer controle sobre os hosts infectados, executar código remotamente e extrair dados sensíveis. Incidentes isolados revelaram o uso do framework de pós-exploração Brute Ratel C4, bem como uma técnica conhecida como Heaven's Gate para burlar proteções de endpoint.

Em um dos casos investigados, os hackers levaram vários dias para progredir do acesso inicial bem-sucedido à exploração subsequente, levantando a possibilidade de o invasor ser um "corretor de acesso inicial" (IAB), obtendo e vendendo acesso a outros grupos hackers em fóruns clandestinos.

A investigação da ReliaQuest revelou um padrão preocupante, sugerindo que os cibercriminosos estão combinando um exploit conhecido com técnicas em evolução para maximizar o impacto de seus ataques. A empresa ressalta que as soluções SAP são frequentemente utilizadas por agências governamentais e grandes empresas, tornando-as alvos de alto valor para invasores.

Como essas soluções geralmente são implementadas on-premises, as medidas de segurança dependem dos usuários, e a falta de aplicação imediata de atualizações e patches aumenta significativamente o risco de comprometimento. Coincidentemente, a própria SAP liberou uma atualização para corrigir uma falha de segurança de severidade máxima (CVE-2025-31324, com pontuação CVSS de 10.0) que poderia ser explorada para o upload de arquivos arbitrários.

A vulnerabilidade recém-divulgada afeta o componente "SAP NetWeaver Visual Composer Metadata Uploader", que não possui proteção de autorização adequada, permitindo que um agente não autenticado carregue binários executáveis maliciosos capazes de causar sérios danos ao sistema host.

É provável que a CVE-2025-31324 se refira ao mesmo defeito de segurança não reportado anteriormente, dado que também afeta o metadata uploader. Essa divulgação ocorre pouco mais de um mês após a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) alertar sobre a exploração ativa de outra falha de alta severidade no NetWeaver (CVE-2017-12637), que poderia permitir a um invasor obter arquivos de configuração confidenciais da SAP.

Em uma atualização posterior, a ReliaQuest confirmou ao The Hacker News que a atividade maliciosa detalhada está de fato explorando uma nova vulnerabilidade de segurança, agora rastreada como CVE-2025-31324. A empresa esclareceu que a falha, identificada durante a investigação publicada em 22 de abril de 2025, foi inicialmente suspeita de ser um problema de inclusão de arquivo remoto (RFI), mas a SAP posteriormente confirmou tratar-se de uma vulnerabilidade de upload irrestrito de arquivos, permitindo que atacantes carreguem arquivos maliciosos diretamente no sistema sem autorização.

Via - THN