Es probable que los actores de amenaza estén explotando una nueva vulnerabilidad en SAP NetWeaver para cargar los shsh Web SHEL con el objetivo de facilitar las cargas de archivos no autorizadas y la ejecución del código.
«La explotación probablemente esté vinculada a una vulnerabilidad previamente divulgada como CVE-2017-9844 o una emisión de inclusión de archivos remotos (RFI) no reportados», dijo Reliaquest en un informe publicado esta semana.
La ciberseguridad dijo que la posibilidad de un día cero se deriva del hecho de que varios de los sistemas afectados ya estaban ejecutando los últimos parches.
Se evalúa que el defecto se basa en el punto final «/Developmentserver/MetAdatauploader» en el entorno NetWeaver, lo que permite a los actores de amenaza desconocidos cargar capas web maliciosas basadas en JSP en la ruta «SERVLET_JSP/IRJ/Root/» para el acceso remoto persistente y entregar cargas útiles adicionales.
Dicho de manera diferente, el shell web liviano está configurado para cargar archivos no autorizados, habilitar un control arraigado sobre los hosts infectados, ejecutar código remoto y datos sensibles al sifón.
Se han observado incidentes seleccionados utilizando el marco Brute Ratel C4 después de la explotación, así como una técnica bien conocida llamada Heaven’s Gate para evitar las protecciones del punto final.
Al menos en un caso, los actores de amenaza tardaron varios días en progresar del acceso inicial exitoso a la explotación de seguimiento, lo que aumenta la posibilidad de que el atacante sea un corredor de acceso inicial (IAB) que está obteniendo y vendiendo acceso a otros grupos de amenazas en foros subterráneos.
«Nuestra investigación reveló un patrón preocupante, lo que sugiere que los adversarios están aprovechando una exploit conocida y combinándolo con una combinación de técnicas en evolución para maximizar su impacto», dijo Reliaquest.
«Las soluciones de SAP son a menudo utilizadas por agencias gubernamentales y empresas, lo que los convierte en objetivos de alto valor para los atacantes. Como las soluciones de SAP a menudo se implementan en las instalaciones, las medidas de seguridad para estos sistemas se dejan a los usuarios; las actualizaciones y parches que no se aplican de inmediato pueden exponer estos sistemas a un mayor riesgo de compromiso».
Casualmente, SAP también ha publicado una actualización para abordar una falla de seguridad de gravedad máxima (CVE-2025-31324, puntaje CVSS: 10.0) que un atacante podría explotar para cargar archivos arbitrarios.
«El cargador de metadatos de SAP Netweaver Visual Composer no está protegido con una autorización adecuada, lo que permite que un agente no autenticado cargue binarios ejecutables potencialmente maliciosos que podrían dañar severamente el sistema del host», se lee en un aviso para la vulnerabilidad.
Es probable que CVE-2025-31324 se refiera al mismo defecto de seguridad no reportado dado que el primero también afecta el componente del cargador de metadatos.
La divulgación se produce poco más de un mes después de la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) advirtió sobre la explotación activa de otro defecto de Netweaver de alta severidad (CVE-2017-12637) que podría permitir a un atacante obtener archivos de configuración SAP sensibles.
Actualizar
Reliaquest ha confirmado a Hacker News que la actividad maliciosa detallada anteriormente está aprovechando una nueva vulnerabilidad de seguridad que ahora se está rastreando como CVE-2025-31324.
«Esta vulnerabilidad, que identificamos durante nuestra investigación publicada el 22 de abril de 2025 se sospechaba que era un problema de inclusión de archivos remotos (RFI)», dijo la compañía. «Sin embargo, SAP lo confirmó más tarde como una vulnerabilidad de carga de archivos sin restricciones, lo que permite a los atacantes cargar archivos maliciosos directamente al sistema sin autorización».
(La historia se actualizó después de la publicación para confirmar la explotación de una nueva falla de día cero).