SAP Arregla una Vulnerabilidad Crítica en NetWeaver que Sufrió Explotaciones en Ataques

SAP ha lanzado actualizaciones de emergencia para abordar una falla crítica en su sistema NetWeaver, conocida como un zero-day, que se sospecha ha sido explotada en ataques activos. Esta noticia ha despertado interés en la comunidad de ciberseguridad, así como preocupación entre los usuarios de SAP, quienes deben estar al tanto de estas actualizaciones esenciales para proteger sus sistemas.

¿Qué es SAP y por qué es relevante?

SAP es una de las principales empresas de software del mundo, diseñada para ayudar a las organizaciones a gestionar sus procesos comerciales mediante una serie de aplicaciones integradas. La seguridad de sus aplicaciones, especialmente aquellas que manejan datos sensibles, es crucial para prevenir ataques cibernéticos y garantizar la privacidad de la información.

¿Qué sucedió exactamente?

Razones para la Actualización de Emergencia

La vulnerabilidad identificada, CVE-2025-31324, ha sido catalogada como crítica con una puntuación de 10.0 en la escala CVSS v3, lo que indica su gravedad. Esta falla permite a atacantes no autenticados subir archivos maliciosos a través del componente Metadata Uploader de SAP NetWeaver Visual Composer, lo que podría dar lugar a la ejecución remota de código.

Los atacantes aprovechan esta falla para comprometer servidores, lo que ha llevado a múltiples organizaciones a sufrir intrusiones a través de la carga no autorizada de archivos.

Detalles del Ataque

Las investigaciones de ReliaQuest han revelado que varios clientes han sufrido comprometidos debido a la carga de JSP webshells, permitiendo a los atacantes ejecutar comandos y gestionar archivos de forma remota. Esto convierte a CVE-2025-31324 en una vulnerabilidad extremadamente peligrosa, ya que no requiere autenticación previa para ser explotada.

¿Cómo protegerse contra estos ataques?

Aplicar el Parche Inmediatamente

La mejor y más segura manera de alejarse de este riesgo es aplicar el último parche lanzado por SAP. Este parche se hizo disponible tras la actualización regular de abril de 2025, lo que significa que incluso si aplicaste esa actualización, aún podrías estar expuesto a esta vulnerabilidad.

Si no puedes implementar el parche de inmediato, se sugieren varias mitigaciones:

1. Restringir el acceso al endpoint /developmentserver/metadatauploader.
2. Desactivar Visual Composer si no se está utilizando.
3. Examinar los registros del sistema para detectar archivos no autorizados.

Escaneos en Profundidad

ReliaQuest aconseja realizar un escaneo exhaustivo del entorno para localizar y eliminar archivos sospechosos antes de aplicar las mitigaciones necesarias. Es fundamental estar siempre preparado y evitar que las vulnerabilidades sean utilizadas en tu contra.

Por ello, siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas.

Implicaciones de la Explotación

Testimonios de Firmas de Seguridad

La firma de ciberseguridad watchTowr también ha advertido sobre la explotación activa de CVE-2025-31324. Su CEO, Benjamin Harris, afirma que los atacantes están utilizando esta vulnerabilidad para implantar puertas traseras web en sistemas expuestos, lo que les permite otra capa de acceso una vez que logran comprometer un servidor.

Esta situación ha llevado a un aumento en la atención hacia la vulnerabilidad, ya que cada vez más grupos criminales podrían comenzar a utilizarla, lo que amplifica la urgencia de que los sistemas se actualicen.

Monitoreo y Recomendaciones

Es esencial incluir patrones de monitoreo regulares, como el reenvío de logs a un sistema de gestión de información y eventos de seguridad (SIEM). Realizar auditorías frecuentes puede prevenir el uso no autorizado de funcionalidades dentro de SAP.

Documentación y Soporte de SAP

SAP ha emitido una declaración a BleepingComputer indicando que, hasta ahora, no tienen conocimiento de que sus clientes hayan sido afectados. Sin embargo, es vital que los usuarios permanezcan atentos a cualquier actualización sobre esta vulnerabilidad y que sigan aplicando las mejores prácticas de ciberseguridad.

Respuesta de SAP

Aunque algunos expertos han informado sobre la explotación activa de esta vulnerabilidad, SAP ha sugerido que la información sobre su explotación líder no ha sido verificada, lo que provoca confusión en el mercado. No obstante, la recomendación permanece: aplica el parche de seguridad urgentemente.

Vulnerabilidades Similares en SAP

Además de CVE-2025-31324, el reciente parche de SAP también aborda otras dos vulnerabilidades críticas, CVE-2025-27429 y CVE-2025-31330, que afectan a SAP S/4HANA y SAP Landscape Transformation. Es evidente que mantener los sistemas actualizados y seguros es más importante que nunca.

Consideraciones Finales sobre la Seguridad Digital

La seguridad cibernética es un campo en constante evolución. La explotación de vulnerabilidades como CVE-2025-31324 resalta la importancia de mantener una solución robusta de ciberseguridad y una estrategia de mitigación efectiva.

Recomendamos enfáticamente que, en conjunto con la aplicación de parches esenciales, consideres obtener herramientas de ciberseguridad efectivas. Por ello, siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas.

Entrenar Conciencia de Seguridad

Por último, es imperativo que los empleados y secretarios de TI estén informados sobre las mejores prácticas en ciberseguridad, así como en la importancia de aplicar actualizaciones de seguridad en tiempo.

En resumen, la reciente vulnerabilidad de SAP NetWeaver subraya la necesidad de mantener los sistemas actualizados y reforzar la infraestructura de seguridad. La prevención proactiva sigue siendo la clave en un panorama digital repleto de riesgos.

Fuente: https://www.bleepingcomputer.com/news/security/sap-fixes-suspected-netweaver-zero-day-exploited-in-attacks/