Cibercriminales chinos detrás de ataques a servidores SAP NetWeaver

Investigadores de han identificado una serie de ataques dirigidos a instancias SAP NetWeaver, vinculados a un grupo de origen chino denominado provisionalmente Chaya_004. Estos ataques están aprovechando una vulnerabilidad crítica que permite comprometer completamente los sistemas afectados.

Vulnerabilidad: CVE-2025-31324

• Tipo: Carga de archivos no autenticada
• Severidad: Crítica
• Componente afectado: SAP NetWeaver Visual Composer
• Parche publicado: 24 de abril de 2025 (fuera de calendario)
• Impacto: Permite a atacantes ejecutar código de forma remota sin autenticación previa, facilitando la toma de control total del sistema afectado.
• Referencia Nist: CVE-2025-31324

Detalles técnicos y tácticas del atacante

• Método de intrusión: Subida de archivos JSP maliciosos a directorios públicos mediante la vulnerabilidad no autenticada.
• Herramientas utilizadas:
  • Brute Ratel (herramienta de post-explotación)
  • Supershell (reverse shell de origen chino)
• Infraestructura del atacante:
  • IPs con certificados falsos que imitan a Cloudflare
  • Servidores en proveedores de nube chinos (Alibaba, Tencent, Huawei, China Unicom)
• Origen y cronología:
  • Actividad de reconocimiento desde enero de 2025
  • Explotación activa desde febrero de 2025
  • Últimos ataques confirmados: 29 de abril de 2025

Alcance del compromiso

• La Shadowserver Foundation identificó 204 servidores SAP NetWeaver expuestos en línea y vulnerables.
• Onyphe reportó 1,284 instancias vulnerables, de las cuales 474 ya han sido comprometidas.
• Se estima que más de 20 empresas del Fortune 500/Global 500 están entre las afectadas.

Recomendaciones para administradores SAP

1. Aplicar inmediatamente el parche oficial de SAP para CVE-2025-31324.
2. Restringir el acceso al servicio de carga de metadatos.
3. Auditar los sistemas en busca de JSP maliciosos, tráfico inusual o herramientas como Brute Ratel.
4. Evaluar la posibilidad de deshabilitar el servicio Visual Composer si no es indispensable.
5. Supervisar logs de seguridad y aplicar reglas de detección específicas en sistemas SIEM.

Medidas regulatorias

La Agencia de Ciberseguridad e Infraestructura (CISA) de Estados Unidos ha incluido esta vulnerabilidad en su catálogo de fallos explotados activamente. Las agencias federales están obligadas a aplicar medidas de mitigación antes del 20 de mayo de 2025, en cumplimiento con la Directiva Operativa Vinculante BOD 22-01.

Conclusión

Los ataques actuales contra SAP NetWeaver representan una amenaza de alto nivel, con evidencias de explotación avanzada y uso de infraestructura organizada desde proveedores en China. La vulnerabilidad está siendo aprovechada con rapidez y precisión, incluso en entornos previamente parcheados, lo que refuerza la sospecha del uso de exploits tipo zero-day.

Es fundamental que todas las organizaciones que utilicen SAP NetWeaver revisen de inmediato sus sistemas y tomen medidas preventivas.