CVE-2025-31324

Nome do Software Vulnerável e Versões Afetadas SAP NetWeaver versões anteriores a setembro de 2025

Descrição Um problema crítico de execução remota de código existe no Servidor de Desenvolvimento SAP NetWeaver, especificamente na função Metadata Uploader da ferramenta Visual Composer. A falha é causada por autorização inadequada e validação insuficiente de arquivos de modelo carregados através do endpoint 'metadatauploader', bem como deficiências no mecanismo de desserialização. Isso permite que invasores remotos não autenticados carreguem binários executáveis maliciosos, frequentemente empacotados como arquivos ZIP ou JAR com o tipo de conteúdo application/octet-stream, que o servidor processa erroneamente como conteúdo seguro. Uma vez processados, isso pode levar ao comprometimento total do sistema, afetando a confidencialidade, integridade e disponibilidade.

A exploração no mundo real foi observada desde março de 2025, com aumento da atividade após o lançamento de um exploit em agosto de 2025. Atacantes, incluindo APTs ligados à China e grupos como Lapsus e Shinyhunters, visaram os setores governamental, de varejo, telecomunicações e financeiro, incluindo uma empresa de produtos químicos sediada nos EUA. As cadeias de exploração envolveram a implantação de web shells como 'helper.jsp' e 'cache.jsp', e a instalação de um backdoor para Linux chamado Auto-Color para manter a persistência, executar reverse shells e roubar dados.

Recomendações Aplicar as atualizações de segurança da SAP lançadas em setembro de 2025. Implantar sistemas de prevenção e detecção de intrusões (IPS/IDS) para identificar solicitações POST para o endpoint 'metadatauploader' que contenham indicações de application/octet-stream e payloads binários. Utilizar soluções de detecção e resposta de endpoint (EDR) para monitorar comportamentos anômalos de processos SAP, como execuções inesperadas de linha de comando. Restringir a exposição de servidores de desenvolvimento a redes confiáveis.