Um novo exploit público que combina duas falhas críticas no SAP NetWeaver está sendo ativamente explorado por grupos de hackers, colocando em risco empresas que ainda não atualizaram seus sistemas. O ataque permite que invasores ignorem autenticação e executem comandos remotamente, comprometendo dados e funcionalidades centrais de negócios.
Segundo a Onapsis, empresa especializada em segurança SAP, o exploit integra as vulnerabilidades CVE-2025-31324 (pontuação CVSS 10.0) e CVE-2025-42999 (CVSS 9.1), ambas localizadas no servidor de desenvolvimento Visual Composer do SAP NetWeaver. A primeira permite contornar autenticação, e a segunda explora uma falha de desserialização insegura, viabilizando a execução remota de código (RCE).
Embora as correções tenham sido liberadas em abril e maio de 2025, as falhas já vinham sendo exploradas como zero-days desde março.
🚨 Hackers já estão usando o exploit
Grupos conhecidos como Qilin, BianLian, RansomExx e atores ligados à espionagem cibernética chinesa estão entre os que exploram ativamente essas falhas, incluindo alvos estratégicos como infraestruturas críticas e grandes corporações.
A divulgação do exploit foi feita pelo site vx-underground, atribuindo a autoria à recém-formada aliança de cibercriminosos chamada Scattered Lapsus$ Hunters – um grupo que une Scattered Spider e ShinyHunters.
De acordo com a Onapsis, o exploit permite o upload de arquivos maliciosos, a implantação de web shells e o uso de técnicas Living-off-the-Land (LotL) – aproveitando ferramentas nativas do sistema operacional para escapar da detecção. Os comandos são executados com privilégios de administrador, permitindo controle total do ambiente SAP.
🧬 Entenda a cadeia de ataque
O ataque ocorre em duas etapas:
-
CVE-2025-31324 – permite ao invasor ignorar a autenticação no SAP NetWeaver;
-
CVE-2025-42999 – explora a desserialização para executar o código malicioso.
A técnica também pode ser adaptada para explorar outras falhas semelhantes, como as recentemente corrigidas CVE-2025-30012 (CVSS 10.0) e CVE-2025-42963 (CVSS 9.1).
✅ Recomendações para proteção imediata
A Onapsis alerta que o exploit está disponível publicamente e pode ser facilmente adaptado por outros grupos criminosos. As recomendações de mitigação incluem:
-
Aplicar imediatamente os patches de segurança disponibilizados pela SAP;
-
Restringir o acesso aos servidores SAP expostos à internet;
-
Monitorar logs e comportamentos anômalos nos sistemas SAP;
-
Verificar se há indícios de comprometimento, como presença de web shells ou execução de comandos administrativos incomuns.
