Novo exploit para sistemas SAP expõe empresas a ataques de Hackers

Um novo exploit público, que combina duas falhas de segurança críticas no software SAP NetWeaver, foi divulgado, colocando em risco empresas que não atualizaram seus sistemas. A exploração dessas falhas permite que hackers ignorem a autenticação e executem códigos remotamente, abrindo caminho para roubo de dados e controle total do sistema.

A empresa de segurança SAP Onapsis afirmou que o exploit une as vulnerabilidades CVE-2025-31324 e CVE-2025-42999. A primeira, com pontuação máxima de 10.0 (CVSS), é uma falha de autorização no servidor de desenvolvimento Visual Composer do SAP NetWeaver.

A segunda, com pontuação 9.1 (CVSS), é uma falha de "desserialização insegura" no mesmo servidor. Embora a SAP tenha corrigido essas vulnerabilidades em abril e maio de 2025, elas foram exploradas como "zero-days" (falhas sem correção pública) desde março.

Grupos de hackers se aproveitam da vulnerabilidade

Vários grupos hackers, incluindo os de ransomware e extorsão de dados como Qilin, BianLian e RansomExx, já foram vistos explorando essas falhas. Além disso, grupos de espionagem cibernética ligados à China também as usaram em ataques contra redes de infraestrutura crítica.

A divulgação do exploit foi relatada pela primeira vez pelo site vx-underground, que atribuiu o feito a uma nova aliança de hackers chamada Scattered Lapsus$ Hunters, formada por Scattered Spider e ShinyHunters.

A Onapsis alertou que as vulnerabilidades permitem que um invasor não autenticado execute comandos arbitrários no sistema SAP, inclusive o upload de arquivos. Isso pode levar à execução remota de código (RCE) e ao controle total do sistema, comprometendo dados e processos de negócios críticos da SAP.

O exploit pode ser usado para implantar web shells ou para realizar ataques do tipo "living-off-the-land" (LotL), que usam ferramentas do próprio sistema operacional para evitar a detecção. Os comandos são executados com privilégios de administrador, garantindo ao hacker acesso completo a dados e recursos da SAP.

Como o ataque funciona

A cadeia de ataque utiliza a CVE-2025-31324 para burlar a autenticação e enviar o código malicioso ao servidor. Em seguida, a vulnerabilidade de desserialização, CVE-2025-42999, é explorada para "descompactar" o código e executá-lo com privilégios elevados.

A Onapsis expressou preocupação com a publicação dessa falha, pois a técnica pode ser reutilizada em outros contextos, inclusive para explorar outras vulnerabilidades de desserialização que a SAP corrigiu em julho. Entre as falhas estão: CVE-2025-30012 (pontuação 10.0), CVE-2025-42963 (9.1) e outras.

A empresa de segurança descreveu os hackers como tendo um conhecimento aprofundado de aplicativos SAP. Por isso, a Onapsis recomenda que os usuários do software apliquem as últimas correções de segurança o mais rápido possível, revisem e restrinjam o acesso de aplicativos SAP a partir da internet, e monitorem os sistemas em busca de qualquer sinal de comprometimento.

Via - THN