Es probable que los actores de amenaza est\u00e9n explotando una nueva vulnerabilidad en SAP NetWeaver para cargar los shsh Web SHEL con el objetivo de facilitar las cargas de archivos no autorizadas y la ejecuci\u00f3n del c\u00f3digo. <\/p>\n
“La explotaci\u00f3n probablemente est\u00e9 vinculada a una vulnerabilidad previamente revelada como CVE-2017-9844<\/a> o un problema de inclusi\u00f3n de archivos remoto (RFI) no reportado “, Reliaquest dicho<\/a> En un informe publicado esta semana.<\/p>\n La ciberseguridad dijo que la posibilidad de un d\u00eda cero se deriva del hecho de que varios de los sistemas afectados ya estaban ejecutando los \u00faltimos parches.<\/p>\n Se eval\u00faa que el defecto se basa en el punto final “\/Developmentserver\/MetAdatauploader” en el entorno NetWeaver, lo que permite a los actores de amenaza desconocidos cargar capas web maliciosas basadas en JSP en la ruta “SERVLET_JSP\/IRJ\/Root\/” para el acceso remoto persistente y entregar cargas \u00fatiles adicionales.<\/p>\n Dicho de manera diferente, el shell web liviano est\u00e1 configurado para cargar archivos no autorizados, habilitar un control arraigado sobre los hosts infectados, ejecutar c\u00f3digo remoto y datos sensibles al sif\u00f3n.<\/p>\n Se han observado incidentes seleccionados utilizando el marco de la explotaci\u00f3n Brute Ratel C4, as\u00ed como una t\u00e9cnica bien conocida llamada Puerta del cielo<\/a> para evitar las protecciones de punto final.<\/p>\n Al menos en un caso, los actores de amenaza tardaron varios d\u00edas en progresar del acceso inicial exitoso a la explotaci\u00f3n de seguimiento, lo que aumenta la posibilidad de que el atacante sea un corredor de acceso inicial (IAB) que est\u00e1 obteniendo y vendiendo acceso a otros grupos de amenazas en foros subterr\u00e1neos.<\/p>\n “Nuestra investigaci\u00f3n revel\u00f3 un patr\u00f3n preocupante, lo que sugiere que los adversarios est\u00e1n aprovechando una exploit conocida y combin\u00e1ndolo con una combinaci\u00f3n de t\u00e9cnicas en evoluci\u00f3n para maximizar su impacto”, dijo Reliaquest.<\/p>\n “Las soluciones de SAP son a menudo utilizadas por agencias gubernamentales y empresas, lo que los convierte en objetivos de alto valor para los atacantes. Como las soluciones de SAP a menudo se implementan en las instalaciones, las medidas de seguridad para estos sistemas se dejan a los usuarios; las actualizaciones y parches que no se aplican de inmediato pueden exponer estos sistemas a un mayor riesgo de compromiso”.<\/p>\n Casualmente, SAP tambi\u00e9n tiene liberado<\/a> Una actualizaci\u00f3n para abordar una falla de seguridad de gravedad m\u00e1xima (CVE-2025-31324, puntaje CVSS: 10.0) que un atacante podr\u00eda explotar para cargar archivos arbitrarios.<\/p>\n “El cargador de metadatos de SAP Netweaver Visual Composer no est\u00e1 protegido con una autorizaci\u00f3n adecuada, lo que permite que un agente no autenticado cargue binarios ejecutables potencialmente maliciosos que puedan da\u00f1ar severamente el sistema host”, un consultivo<\/a> para la vulnerabilidad lectura.<\/p>\n Es probable que CVE-2025-31324 se refiera al mismo defecto de seguridad no reportado dado que el primero tambi\u00e9n afecta el mismo componente de cargador de metadatos. Hacker News se ha comunicado con Reliaquest para hacer m\u00e1s comentarios, y actualizaremos la historia si recibimos noticias.<\/p>\n La divulgaci\u00f3n se produce poco m\u00e1s de un mes despu\u00e9s de la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) advirti\u00f3 sobre la explotaci\u00f3n activa de otro defecto de Netweaver de alta severidad (CVE-2017-12637) que podr\u00eda permitir a un atacante obtener archivos de configuraci\u00f3n SAP sensibles.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/SAP-confirma-la-falla-critica-de-Netweaver-en-medio-de.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n