Investigadores de han identificado una serie de ataques dirigidos a instancias SAP NetWeaver, vinculados a un grupo de origen chino denominado provisionalmente Chaya_004. Estos ataques están aprovechando una vulnerabilidad crítica que permite comprometer completamente los sistemas afectados.
Vulnerabilidad: CVE-2025-31324
- Tipo: Carga de archivos no autenticada
- Severidad: Crítica
- Componente afectado: SAP NetWeaver Visual Composer
- Parche publicado: 24 de abril de 2025 (fuera de calendario)
- Impacto: Permite a atacantes ejecutar código de forma remota sin autenticación previa, facilitando la toma de control total del sistema afectado.
- Referencia Nist: CVE-2025-31324
Detalles técnicos y tácticas del atacante
- Método de intrusión: Subida de archivos JSP maliciosos a directorios públicos mediante la vulnerabilidad no autenticada.
- Herramientas utilizadas:
- Brute Ratel (herramienta de post-explotación)
- Supershell (reverse shell de origen chino)
- Infraestructura del atacante:
- IPs con certificados falsos que imitan a Cloudflare
- Servidores en proveedores de nube chinos (Alibaba, Tencent, Huawei, China Unicom)
- Origen y cronología:
- Actividad de reconocimiento desde enero de 2025
- Explotación activa desde febrero de 2025
- Últimos ataques confirmados: 29 de abril de 2025
Alcance del compromiso
- La Shadowserver Foundation identificó 204 servidores SAP NetWeaver expuestos en línea y vulnerables.
- Onyphe reportó 1,284 instancias vulnerables, de las cuales 474 ya han sido comprometidas.
- Se estima que más de 20 empresas del Fortune 500/Global 500 están entre las afectadas.
Recomendaciones para administradores SAP
- Aplicar inmediatamente el parche oficial de SAP para CVE-2025-31324.
- Restringir el acceso al servicio de carga de metadatos.
- Auditar los sistemas en busca de JSP maliciosos, tráfico inusual o herramientas como Brute Ratel.
- Evaluar la posibilidad de deshabilitar el servicio Visual Composer si no es indispensable.
- Supervisar logs de seguridad y aplicar reglas de detección específicas en sistemas SIEM.
Medidas regulatorias
La Agencia de Ciberseguridad e Infraestructura (CISA) de Estados Unidos ha incluido esta vulnerabilidad en su catálogo de fallos explotados activamente. Las agencias federales están obligadas a aplicar medidas de mitigación antes del 20 de mayo de 2025, en cumplimiento con la Directiva Operativa Vinculante BOD 22-01.
Conclusión
Los ataques actuales contra SAP NetWeaver representan una amenaza de alto nivel, con evidencias de explotación avanzada y uso de infraestructura organizada desde proveedores en China. La vulnerabilidad está siendo aprovechada con rapidez y precisión, incluso en entornos previamente parcheados, lo que refuerza la sospecha del uso de exploits tipo zero-day.
Es fundamental que todas las organizaciones que utilicen SAP NetWeaver revisen de inmediato sus sistemas y tomen medidas preventivas.
