Control de llave
1. Shinyhunters lanzó públicamente las exploits para las vulnerabilidades críticas de SAP.
2. Los atacantes no autenticados pueden lograr la adquisición completa del sistema y la ejecución de código remoto.
3. Aplicar inmediatamente las notas de seguridad de SAP 3594142 y 3604119.
Una explotación de trabajo dirigida a las vulnerabilidades críticas de SAP CVE-2025-31324 y CVE-2025-42999 ha sido lanzada públicamente por el notorio grupo cibercriminal “Lapsusussus $ cazadores Shinyhunters” a través de canales de Telegram, con VX subterráneo que publica posteriormente el código en la plataforma de medios sociales X. X.
El exploit encadena dos vulnerabilidades severas en el compositor Visual SAP Netweaver, con puntajes máximos de CVSS de 10.0, lo que permite a los atacantes no autenticados lograr un compromiso completo del sistema y capacidades de ejecución de código remoto.
Los investigadores de seguridad advierten que la liberación pública aumenta significativamente el panorama de amenazas para las organizaciones que ejecutan sistemas SAP sin parpadear, particularmente dada la naturaleza sofisticada de la exploit y su potencial de despliegue generalizado.
Explotación de SAP Netweaver
Onapsis informes que el exploit aprovecha una combinación devastadora de omisión de autenticación y defectos de deserialización dentro de la infraestructura de compositor visual de SAP Netweaver.
CVE-2025-31324 funciona como el vector de ataque inicial, lo que permite el acceso no autenticado a la funcionalidad crítica del sistema, mientras que CVE-2025-42999 sirve como el mecanismo de entrega de carga útil a través de procesos de deserialización inseguros.
Este enfoque de doble vulnerabilidad permite a los atacantes ejecutar comandos de sistema operativo arbitrario con privilegios de administrador de SAP (ADM), evitando efectivamente los controles de seguridad tradicionales y obteniendo acceso no restringido a datos y procesos comerciales confidentes.
La implementación técnica demuestra una comprensión sofisticada de la arquitectura de SAP, utilizando clases específicas como com.sap.sdo.api.* Y com.sap.sdo.impl.* Dentro del marco de explotación.
La carga útil maliciosa se adapta dinámicamente en función de la detección de versión de SAP NetWeaver, con el código de explotación que contiene ajustes específicos de la versión:
La exploit publicada públicamente representa una escalada significativa en las capacidades de amenazas de los actores, con un dispositivo de deserialización reutilizable que se extiende más allá del alcance de vulnerabilidad original.
Los investigadores de seguridad expresan una preocupación particular sobre la aplicación potencial del dispositivo a las vulnerabilidades de deserialización recientemente parcheadas, incluidas CVE-2025-30012, CVE-2025-42980, CVE-2025-42966, CVE-2025-42963 y CVE-2025-42964.
Esta compatibilidad de vulnerabilidad cruzada sugiere que los actores de amenaza poseen un conocimiento integral de la arquitectura subyacente de SAP y los mecanismos de serialización.
CVE IDTITLECVSS 3.1 ScoreSeverityCVE-2025-31324SAP NetWeaver Compositor visual Autenticación Bypass10.0CriticalCVE-2025-42999SAP NetWeaver Visual Composer Deserialización Vulnerabilidad
Mitigaciones
Las organizaciones deben aplicar de inmediato a SAP Security Notes 3594142 y 3604119 para abordar las vulnerabilidades explotadas.
Los parches críticos adicionales incluyen Notas de seguridad 3578900, 3620498, 3610892, 3621771 y 3621236 para fallas de deserialización relacionadas.
Los equipos de seguridad deben implementar un monitoreo integral para las solicitudes POST, GET y Head para componentes de compositor Visual SAP al tiempo que restringe el acceso a la aplicación SAP orientado a Internet.
Detonar de forma segura archivos sospechosos para descubrir amenazas, enriquecer sus investigaciones y reducir el tiempo de respuesta de incidentes. Comience con una prueba de Sandbox Anyrun →
