Vulnerabilidades críticas na SAP GUI e falhas exploited "In-the-Wild" em produtos Citrix NetScaler

Pesquisadores de cibersegurança revelaram detalhes sobre duas falhas de segurança já corrigidas na interface gráfica do usuário (GUI) da SAP para Windows e Java. Essas vulnerabilidades, se exploradas com sucesso, poderiam permitir que hackers acessassem informações confidenciais em certas condições. As falhas, identificadas como CVE-2025-0055 e CVE-2025-0056 (com pontuação CVSS de 6,0), foram prontamente corrigidas pela SAP em suas atualizações mensais de janeiro de 2025.

Jonathan Stross, pesquisador da Pathlock, destacou em um relatório que "a pesquisa descobriu que o histórico de entrada da GUI do SAP é armazenado de forma insegura, tanto nas versões Java quanto Windows". O recurso de histórico de usuário da GUI do SAP, projetado para agilizar a inserção de dados, armazena localmente nos dispositivos informações que podem incluir nomes de usuário, documentos de identidade nacionais, números de previdência social (SSNs), números de contas bancárias e nomes de tabelas internas do SAP.

As vulnerabilidades identificadas pela Pathlock residem nesse recurso de histórico de entrada. Elas permitem que um invasor com privilégios administrativos ou acesso ao diretório de usuário da vítima no sistema operacional acesse os dados armazenados em um diretório predefinido, dependendo da variante da GUI do SAP.

O problema central é que, na GUI do SAP para Windows, as entradas são salvas em um arquivo de banco de dados usando um esquema de criptografia XOR fraco, tornando-as fáceis de decodificar. Já na GUI do SAP para Java, as entradas históricas são armazenadas de forma não criptografada como objetos serializados Java.

Dependendo do histórico de uso do usuário, as informações expostas podem variar de dados não críticos a dados altamente sensíveis, comprometendo a confidencialidade do aplicativo. "Qualquer pessoa com acesso ao computador pode potencialmente acessar o arquivo de histórico e todas as informações confidenciais que ele armazena", alertou Stross.

"Como os dados são armazenados localmente e com criptografia fraca (ou inexistente), a exfiltração por meio de ataques de injeção HID (como o USB Rubber Ducky) ou phishing torna-se uma ameaça real."

A Pathlock também apontou que essas duas vulnerabilidades foram a base para uma terceira falha de divulgação de informações (CVE-2025-0059, pontuação CVSS: 6,0) no SAP NetWeaver Application Server ABAP, que utiliza o SAP GUI para HTML.

No entanto, para essa última, ainda não há um patch disponível. Para mitigar riscos, a SAP aconselha desabilitar a funcionalidade do histórico de entrada e excluir arquivos de banco de dados ou objetos serializados existentes dos diretórios afetados.

A divulgação das falhas da SAP coincide com alertas urgentes da Citrix sobre vulnerabilidades críticas em seus produtos. A empresa corrigiu uma falha de segurança crítica no NetScaler ADC (CVE-2025-5777, pontuação CVSS: 9,3) que poderia ser explorada por invasores para obter acesso a dispositivos suscetíveis.

Essa deficiência, apelidada de Citrix Bleed 2 pelo pesquisador de segurança Kevin Beaumont devido às suas semelhanças com a CVE-2023-4966 (explorada ativamente há dois anos), decorre de validação de entrada insuficiente. Isso permite que hackers não autorizados obtenham tokens de sessão válidos da memória por meio de solicitações malformadas, contornando as proteções de autenticação, especialmente quando o NetScaler está configurado como um Gateway ou servidor virtual AAA.

A Citrix já lançou atualizações para as versões afetadas do NetScaler ADC e NetScaler Gateway. A empresa também está solicitando que clientes das versões 12.1 e 13.0, que já atingiram o fim da vida útil (EOL), migrem para versões suportadas.

Embora não haja evidências de exploração generalizada da CVE-2025-5777 até o momento, Benjamin Harris, CEO da watchTowr, afirmou que a vulnerabilidade "preenche todos os requisitos" para o interesse de grupos hackers e que a exploração pode estar próxima. "A CVE-2025-5777 está se tornando tão séria quanto o CitrixBleed, uma vulnerabilidade que causou estragos para usuários finais de dispositivos Citrix Netscaler em 2023 e depois como o vetor de violação inicial para vários incidentes de alto perfil", disse Harris.

Ele também observou que os detalhes em torno da falha foram discretamente alterados, removendo pré-requisitos e limitações, o que sugere que a vulnerabilidade é "significativamente mais dolorosa do que talvez tenha sido sinalizado inicialmente".

Além disso, a Citrix corrigiu outra falha crítica (CVE-2025-6543, pontuação CVSS: 9,2) que afeta o NetScaler ADC e que, segundo a empresa, já está sendo "explorada indiscriminadamente". Descrita como um estouro de memória que pode resultar em fluxo de controle não intencional e negação de serviço, a exploração bem-sucedida requer que o dispositivo seja configurado como um Gateway (servidor virtual VPN, Proxy ICA, CVPN, Proxy RDP) ou servidor virtual AAA.

A empresa não detalhou como a falha está sendo explorada em ataques, mas confirmou "explorações de CVE-2025-6543 em dispositivos não mitigados foram observadas". A Citrix enfatiza a necessidade de os clientes atualizarem imediatamente suas instâncias do NetScaler para as compilações recomendadas para corrigir essas vulnerabilidades.

Via - THN