Un defecto de seguridad cr\u00edtico recientemente revelado que afecta a SAP NetWeaver est\u00e1 siendo explotado por m\u00faltiples actores de estado-estado de China-Nexus para atacar a las redes de infraestructura cr\u00edtica.<\/p>\n
“Los actores aprovecharon CVE-2025-31324, una vulnerabilidad de carga de archivos no autenticada que permite la ejecuci\u00f3n del c\u00f3digo remoto (RCE)”, el investigador de Eclecticiq Arda B\u00fcy\u00fckkaya dicho<\/a> en un an\u00e1lisis publicado hoy.<\/p>\n Los objetivos de la campa\u00f1a incluyen redes de distribuci\u00f3n de gas natural, servicios de gesti\u00f3n de agua y gesti\u00f3n de residuos integrados en el Reino Unido, plantas de fabricaci\u00f3n de dispositivos m\u00e9dicos de exploraci\u00f3n y producci\u00f3n de petr\u00f3leo y producci\u00f3n en los Estados Unidos, y ministerios gubernamentales en Arabia Saudita que son responsables de la estrategia de inversi\u00f3n y la regulaci\u00f3n financiera.<\/p>\n Los hallazgos se basan en un directorio expuesto p\u00fablicamente descubierto en la infraestructura controlada por los atacantes (“15.204.56[.]106 “) que conten\u00edan registros de eventos que capturan las actividades en m\u00faltiples sistemas comprometidos.<\/p>\n La compa\u00f1\u00eda de ciberseguridad holandesa ha atribuido las intrusiones a los grupos de actividad de amenazas chinas rastreados como UNC5221, UNC5174 y Cl-STA-0048<\/a>el \u00faltimo de los cuales estaba vinculado a ataques dirigidos a objetivos de alto valor en el sur de Asia al explotar vulnerabilidades conocidas en los servidores IIS, Apache Tomcat y MS-SQL de orientaci\u00f3n p\u00fablica para soltar capas web, conchas inversas y la puerta trasera de TIGLX.<\/p>\n Tambi\u00e9n se\u00f1al\u00f3 que un actor de amenaza de China-Nexus sin categor\u00eda est\u00e1 llevando a cabo una campa\u00f1a generalizada de explotaci\u00f3n y explotaci\u00f3n de Internet contra los sistemas SAP Netweaver. El servidor alojado en la direcci\u00f3n IP “15.204.56[.]Se ha encontrado que 106 “contiene m\u00faltiples archivos, que incluyen –<\/p>\n “La infraestructura expuesta de DIR abierta revela infracciones confirmadas y destaca los objetivos planificados del grupo, ofreciendo una visi\u00f3n clara de las operaciones pasadas y futuras”, se\u00f1al\u00f3 B\u00fcy\u00fckkaya.<\/p>\n La explotaci\u00f3n de CVE-2025-31324 es seguida por el actor de amenaza que implementa dos capas web que est\u00e1n dise\u00f1adas para mantener un acceso remoto persistente a los sistemas infectados y ejecutar comandos arbitrarios.<\/p>\n Adem\u00e1s, se han observado tres grupos de pirater\u00eda chinos diferentes explotando la vulnerabilidad de SAP Netweaver como parte de los esfuerzos para mantener el acceso remoto, realizar un reconocimiento y dejar programas maliciosos,<\/p>\n “Es muy probable que los APT vinculados a China contin\u00faen apuntando a aplicaciones empresariales expuestas a Internet y dispositivos de borde para establecer el acceso estrat\u00e9gico y de persistencia a largo plazo a redes de infraestructura cr\u00edtica a nivel mundial”, dijo B\u00fcy\u00fckkaya.<\/p>\n “Su enfoque en plataformas ampliamente utilizadas como SAP NetWeaver es un movimiento estrat\u00e9gico, ya que estos sistemas est\u00e1n profundamente integrados en entornos empresariales y, a menudo, alojan vulnerabilidades sin parpadear”.<\/p>\n La divulgaci\u00f3n se produce d\u00edas despu\u00e9s de que otro actor de amenaza sin nombre vinculado por China denominado Chaya_004 tambi\u00e9n se haya atribuido a la explotaci\u00f3n de CVE-2025-31324 para desplegar un caparaz\u00f3n inverso basado en GO llamado SuperShell.<\/p>\n Firma de seguridad de SAP Onapsis dicho<\/a> Es “ver una actividad significativa de los atacantes que est\u00e1n utilizando informaci\u00f3n p\u00fablica para desencadenar proyectiles web de explotaci\u00f3n y abuso de los atacantes originales, que actualmente se han oscurecido”.<\/p>\n Un an\u00e1lisis posterior de estos ataques ha llevado al descubrimiento de otro defecto cr\u00edtico en el componente del cargador de metadatos visuales del compositor de Netweaver. Rastreado como CVE-2025-42999<\/a> (Puntuaci\u00f3n CVSS: 9.1), se ha descrito como una vulnerabilidad de deserializaci\u00f3n que podr\u00eda ser explotada por un usuario privilegiado para cargar contenido no confiable o malicioso.<\/p>\n A la luz de la explotaci\u00f3n activa en curso, se recomienda a los clientes de SAP Netweaver que actualicen sus instancias al \u00faltima versi\u00f3n<\/a> lo antes posible.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/APTS-ligado-a-China-Exploit-SAP-CVE-2025-31324-para-violar-581.jpg\")
<\/a><\/center><\/div>\n\n
\n
<\/a><\/div>\nSAP Patches New Netweaver Fow en mayo de 2025 Patch<\/h3>\n
<\/a><\/center><\/div>\n