Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Vulnerabilidade CVE-2025-31324 Vulnerability

CVE-2025-31324 Vulnerability

Por Mezo em Vulnerabilidade
Traduzir Para:

Os pesquisadores de segurança associaram um agente de ameaça afiliado à China, denominado Chaya_004, à exploração de uma vulnerabilidade crítica do SAP NetWeaver identificada como CVE-2025-31324. Com a pontuação CVSS mais alta, de 10,0, essa falha permite que invasores executem remotamente códigos (RCE) enviando shells web ameaçadores por meio do endpoint vulnerável /developmentserver/metadatauploader.

Essa vulnerabilidade ganhou destaque pela primeira vez no final de abril de 2025, quando equipes de segurança da informação a descobriram sendo explorada ativamente. Invasores a utilizam para implantar shells da web e ferramentas pós-exploração, como o Brute Ratel C4.

As Consequências: Indústrias na Mira

Desde março de 2025, essa vulnerabilidade tem sido amplamente explorada em diversos setores e regiões. Acredita-se que a exploração inicial tenha ocorrido já em 12 de março, com invasões bem-sucedidas confirmadas entre 14 e 31 de março.

Os setores comprometidos incluem:

  • Energia e serviços públicos
  • Fabricação
  • Mídia e entretenimento
  • Petróleo e gás
  • Produtos farmacêuticos
  • Organizações governamentais e de varejo

Esses ataques generalizados apontam para uma campanha global, que pode afetar centenas de sistemas SAP.

Por Dentro dessa Infraestrutura Prejudicial

O agente de ameaças Chaya_004 esteve na vanguarda dessas campanhas, hospedando um shell reverso baseado na web chamado SuperShell no endereço IP 47.97.42[.]177. Essa infraestrutura também revelou outros elementos suspeitos:

  • Porta 3232/HTTP, servindo um certificado autoassinado imitando o Cloudflare
  • Várias ferramentas e serviços em chinês hospedados por provedores de nuvem chineses

As ferramentas de malware associadas ao grupo incluem:

  • NPS (Network Policy Server) : Esta ferramenta é frequentemente usada para gerenciar políticas de acesso à rede. Invasores podem explorá-la para manipular o tráfego de rede, potencialmente permitindo acesso não autorizado ou interrompendo a comunicação.
  • SoftEther VPN : Um software VPN versátil e de código aberto que pode ser usado indevidamente por invasores para contornar a segurança da rede e estabelecer conexões criptografadas com sistemas remotos, auxiliando na exfiltração furtiva de dados ou na movimentação lateral dentro de redes comprometidas.
  • Cobalt Strike : Uma ferramenta de pós-exploração amplamente conhecida, usada para ameaças persistentes avançadas. Ela permite que invasores simulem ataques cibernéticos reais, permitindo-lhes controlar e explorar máquinas comprometidas secretamente.
  • Asset Reconnaissance Lighthouse (ARL) : uma ferramenta de reconhecimento que ajuda os invasores a mapear ativos de rede, identificar vulnerabilidades e obter insights sobre possíveis alvos dentro de uma rede, auxiliando em ataques mais eficazes e focados.
  • Pocassist : Uma ferramenta projetada para auxiliar na criação e exploração de exploits de prova de conceito (PoC), ajudando invasores a automatizar o processo de teste de vulnerabilidades e execução de exploits direcionados.
  • GOSINT : Uma ferramenta usada para coleta de inteligência de código aberto (OSINT), que ajuda invasores a coletar informações disponíveis publicamente para auxiliar no reconhecimento, como dados de funcionários, detalhes de rede ou outras informações confidenciais que podem ser utilizadas em ataques.
  • GO Simple Tunnel : Uma ferramenta simples de tunelamento usada por invasores para contornar firewalls e outras medidas de segurança de rede, criando túneis criptografados que podem ser usados para mover tráfego sem ser detectado ou acessar sistemas restritos.
  • GO Túnel Simples

Esse sofisticado kit de ferramentas, somado ao uso da infraestrutura chinesa, indica fortemente um agente de ameaça operando na China.

Mantendo-se à Frente: Estratégias de Defesa contra uma Exploração Contínua

Embora patches de segurança tenham sido lançados, atividades danosas persistem no cenário pós-patch, indicando que shells da web previamente implantados estão sendo reaproveitados e expandidos por um amplo espectro de fraudadores, de oportunistas a adversários altamente qualificados. Nesse ambiente de ameaças em evolução, as organizações devem implementar medidas abrangentes de remediação, que incluem a aplicação imediata de atualizações oficiais do SAP, a restrição cuidadosa do acesso a endpoints vulneráveis e a desativação de serviços não essenciais, como o Visual Composer.

Além disso, manter uma vigilância reforçada por meio do monitoramento contínuo de sistemas e logs para detectar comportamentos anômalos continua sendo essencial. Esses esforços defensivos são vitais para reduzir a possibilidade de novos comprometimentos e proteger a integridade operacional das infraestruturas SAP.

Tendendo

Mais visto

Carregando...