{"id":1708541,"date":"2025-05-09T05:23:46","date_gmt":"2025-05-09T05:23:46","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-chinos-explotan-sap-rce-flaw-cve-2025-31324-implement-golang-supershell-con-sede-en-golang\/"},"modified":"2025-05-09T05:23:51","modified_gmt":"2025-05-09T05:23:51","slug":"los-piratas-informaticos-chinos-explotan-sap-rce-flaw-cve-2025-31324-implement-golang-supershell-con-sede-en-golang","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-chinos-explotan-sap-rce-flaw-cve-2025-31324-implement-golang-supershell-con-sede-en-golang\/","title":{"rendered":"Los piratas inform\u00e1ticos chinos explotan SAP RCE Flaw CVE-2025-31324, Implement Golang SuperShell con sede en Golang"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>09 de mayo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Vulnerabilidad \/ seguridad industrial<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Un actor de amenaza sin nombre vinculado a China denominado Chaya_004<\/strong> se ha observado explotando una falla de seguridad recientemente revelada en SAP Netweaver.<\/p>\n

Forescout Vedere Labs, en un informe<\/a> Publicado hoy, dijo que descubri\u00f3 una infraestructura maliciosa probablemente asociada con el grupo de pirater\u00eda armado CVE-2025-31324 (puntaje CVSS: 10.0) desde el 29 de abril de 2025.<\/p>\n

CVE-2025-31324 se refiere a una falla cr\u00edtica de SAP NetWeaver que permite a los atacantes lograr la ejecuci\u00f3n de c\u00f3digo remoto (RCE) cargando los shells web a trav\u00e9s de un punto final “\/Developmentserver\/metadatauploader”.<\/p>\n

La vulnerabilidad fue marcada por primera vez por Reliaquest a fines del mes pasado, cuando encontr\u00f3 que la deficiencia fue abusada en ataques del mundo real por actores de amenaza desconocidos para que eliminen los proyectiles web y el marco Brute Ratel C4 despu\u00e9s de la explotaci\u00f3n.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Seg\u00fan Onapsis, cientos de sistemas de SAP a nivel mundial han sido v\u00edctimas de ataques que abarcan industrias y geograf\u00edas, incluidas energ\u00eda y servicios p\u00fablicos, fabricaci\u00f3n, medios y entretenimiento, petr\u00f3leo y gas, productos farmac\u00e9uticos, minoristas y organizaciones gubernamentales.<\/p>\n

La firma de seguridad de SAP dicho<\/a> Observ\u00f3 la actividad de reconocimiento que involucraba “pruebas con cargas \u00fatiles espec\u00edficas contra esta vulnerabilidad” contra sus honeypots hasta el 20 de enero de 2025. Se observaron compromisos exitosos en la implementaci\u00f3n de capas web entre el 14 de marzo y el 31 de marzo.<\/p>\n

Mandiant, propiedad de Google, que tambi\u00e9n se dedica a los esfuerzos de respuesta a incidentes relacionados con estos ataques, tiene evidencia de explotaci\u00f3n que ocurre el 12 de marzo de 2025.<\/p>\n

\"\"<\/a><\/div>\n

En los \u00faltimos d\u00edas, se dice que los actores de m\u00faltiples amenazas saltaron a bordo del tren de explotaci\u00f3n para atacar de manera oportunista a los sistemas vulnerables para implementar proyectiles web e incluso minar la criptomoneda.<\/p>\n

Esto, seg\u00fan forescout, tambi\u00e9n incluye Chaya_004, que ha alojado un shell inverso basado en la web escrito en Golang llamado S\u00faper<\/a> En la direcci\u00f3n IP 47.97.42[.]177. La compa\u00f1\u00eda de seguridad de la tecnolog\u00eda operativa (OT) dijo que extrajo la direcci\u00f3n IP de un binario ELF llamado Config que se us\u00f3 en el ataque.<\/p>\n

“En la misma direcci\u00f3n IP, alojamiento de SuperShell (47.97.42[.]177), tambi\u00e9n identificamos varios otros puertos abiertos, incluidos 3232\/http utilizando un certificado an\u00f3malo autofirmado que se sufra a CloudFlare con las siguientes propiedades: SUJETO DN: C = EE. UU., O = Cloudflare, Inc, CN =: 3232 “, dijeron los investigadores de Forescout Sai Molige y Luca Barba.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Un an\u00e1lisis posterior ha descubierto que el actor de amenaza debe ser alojamiento de varias herramientas en toda la infraestructura: NPS<\/a>, VPN suave<\/a>Cobalt Strike, Faro de reconocimiento de activos (Arl<\/a>), Pocas\u00ed<\/a>, Gosint<\/a>y T\u00fanel Simple<\/a>.<\/p>\n

“El uso de proveedores de nubes chinos y varias herramientas en idioma chino apuntan a un actor de amenaza que probablemente se basa en China”, agregaron los investigadores.<\/p>\n

Para defenderse de los ataques, es esencial que los usuarios apliquen los parches lo antes posible, si no a\u00fan, restringen el acceso al punto final del cargador de metadatos, deshabilite el servicio de compositor visual si no est\u00e1 en uso y monitorea para una actividad sospechosa.<\/p>\n

Onapsis CTO Juan Pablo JP Perez-Detchegoyen le dijo a The Hacker News que la actividad destacada por Froscout es despu\u00e9s del parar, y que “expandir\u00e1 a\u00fan m\u00e1s la amenaza de aprovechar los shells implementados no solo a los actores oportunistas (y potencialmente menos sofisticados), sino tambi\u00e9n a los m\u00e1s avanzados y m\u00e1s avanzados han sido r\u00e1pidos a este problema a los compromisos existentes existentes como los comprandados existentes) y m\u00e1s a m\u00e1s de la amenaza”, sino que m\u00e1s avanzados han sido r\u00e1pidos a este problema a los compromisos existentes existentes.<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n