Um exploit perigoso que combina duas falhas críticas no SAP NetWeaver foi divulgado publicamente, ampliando o risco para empresas que ainda não atualizaram seus sistemas. A brecha permite que hackers ignorem a autenticação e executem códigos remotamente, abrindo caminho para roubo de dados, implantes maliciosos e até controle total dos servidores SAP.
As falhas exploradas
Segundo a Onapsis, o ataque une duas vulnerabilidades:
- CVE-2025-31324 (CVSS 10.0) → falha de autorização no servidor Visual Composer do SAP NetWeaver.
- CVE-2025-42999 (CVSS 9.1) → vulnerabilidade de desserialização insegura.
Mesmo já corrigidas em abril e maio de 2025, essas falhas foram exploradas como zero-days desde março, antes do lançamento oficial dos patches.
Hackers já em ação
Grupos de ransomware e extorsão de dados — como Qilin, BianLian e RansomExx — além de agentes de espionagem ligados à China, já exploraram essas falhas em ataques reais.
O exploit foi divulgado no vx-underground, atribuído à nova aliança criminosa Scattered Lapsus$ Hunters, formada pelos grupos Scattered Spider e ShinyHunters.
Como o ataque acontece
- O invasor usa a CVE-2025-31324 para burlar a autenticação.
- Em seguida, explora a CVE-2025-42999 para desserializar e executar o código malicioso com privilégios de administrador.
Com isso, é possível instalar web shells, executar ataques LotL (Living-off-the-Land) e manipular processos críticos da SAP sem levantar suspeitas.
Por que isso importa
Os comandos são executados com privilégios administrativos, permitindo acesso completo a dados confidenciais e ao funcionamento de sistemas essenciais de negócio.
Além disso, especialistas alertam que a técnica pode ser reaproveitada contra outras falhas de desserialização recentemente corrigidas pela SAP.
Recomendações da Onapsis
- Aplique imediatamente as últimas correções de segurança da SAP.
- Restrinja o acesso externo aos aplicativos SAP.
- Monitore continuamente os sistemas em busca de sinais de intrusão.
🔐 Em um cenário em que o SAP é peça-chave da infraestrutura corporativa, atrasar atualizações pode significar abrir a porta para ataques devastadores.
