SAP NetWeaver en Riesgo: Aviso Oficial de Amenazas Críticas

27 de agosto de 2025

Investigadores han descubierto una vulnerabilidad encadenada en SAP NetWeaver Visual Composer que implica eludir la autenticación y deserialización insegura. Estas fallas críticas, identificadas como CVE-2025-31324 y CVE-2025-42999, se están explotando en una campaña de amenazas activa dirigida a servidores de Visual Composer expuestos.

¿Cuál es la amenaza?

Esta cadena de exploits combina una omisión de autenticación (CVE-2025-31324) con una deserialización insegura (CVE-2025-42999) para lograr la ejecución remota de código (RCE) no autenticada con privilegios de administrador en sistemas SAP NetWaver. Los atacantes instalan shells web maliciosos que otorgan acceso persistente, lo que les permite ejecutar comandos arbitrarios, extraer datos confidenciales, moverse lateralmente dentro de la red y ocultar su presencia indefinidamente.

¿Por qué es digno de mención?

Esta campaña de amenazas se dirige a SAP Netweaver Visual Composer, una plataforma clave que sustenta aplicaciones críticas para el negocio en todas las empresas. Las organizaciones utilizan Visual Composer para orquestar procesos, generar anàlisis personalizados y crear aplicaciones front-end.

Los atacantes han utilizado ambas vulnerabilidades como vulnerabilidad de día cero y las están explotando activamente. Los equipos de seguridad han observado múltiples variantes de exploits que buscan RCE no autenticado, lo que subraya la urgencia de su remediación.

La vulnerabilidad CVE-2025-42999 es especialmente insidiosa. Su técnica subyacente es altamente adaptable. Los atacantes pueden reutilizar la misma lógica de deserialización para combinarla con otras vulnerabilidades de SAP recientemente descubiertas, ampliando drásticamente la superficie de ataque para cualquier entorno que permanezca sin parchear.

¿Cuál es la exposición o riesgo?

Las organizaciones que no han aplicado las actualizaciones de seguridad de SAP de abril y mayo de 2025 siguen siendo vulnerables a la toma de control administrativo total y no autenticada de su infraestructura SAP. Esta exposición puede provocar interrupciones del servicio e interrupciones en flujos de trabajo críticos, así como la implantación persistente de shells web que permiten el espionaje a largo plazo, el robo de datos o el sabotaje. Además, facilita la migración lateral entre los sistemas empresariales, lo que aumenta significativamente el alcance y la gravedad de cualquier brecha.

¿Cuáles son las recomendaciones?

Se recomienda realizar los siguientes pasos para mitigar los riesgos asociados con las vulnerabilidades recientes de SAP NetWeaver y fortalece la resiliencia general del sistema:

Aplique los parches de seguridad de SAP para CVE-2025-31324 (publicado en abril de 2025) y CVE-2025-42999 (publicado en mayo de 2025)
Aplicar todas las correcciones de deserialización relacionadas de julio de 2025 para remediar por completo los componentes vulnerables.
Restrinja el acceso externo a las interfaces de desarrollo y gestión de SAP, limite la exposición a redes confiables y aplique la autenticación multifactor (MFA) para cuentas administrativas.
Establecer un plan de respuesta a incidentes para amenazas relacionadas con SAP NetWeaver, incluidos procedimientos para aislar servidores comprometidos, recopilar evidencia forense, validar la integridad del sistemas y restaurar copias de seguridad limpias.
Capacitar al personal operativo y de seguridad sobre los métodos de detección, procedimientos de parcheo y acciones de respuesta a emergencias específicas para esta vulnerabilidad.