SAP NetWeaver vulnerabilidade permite ataque de malware nos EUA

São Paulo — InkDesign News — A Darktrace, renomada empresa de pesquisa em cibersegurança, identificou o que acredita ser a primeira instância documentada de atores maliciosos explorando uma vulnerabilidade crítica do SAP NetWeaver (CVE-2025-31324) para implantar o malware furtivo Auto-Color. O incidente ocorreu em abril de 2025.

Incidente e vulnerabilidade

A exploração da vulnerabilidade CVE-2025-31324, divulgada pela SAP SE em 24 de abril de 2025 e que recebeu uma pontuação de CVSS de 10, permite que atacantes façam upload de arquivos maliciosos no servidor de aplicativos SAP NetWeaver, o que pode resultar em execução remota de código e comprometimento total do sistema. O Auto-Color Backdoor, um Trojan de Acesso Remoto (RAT) que se renomeia para “/var/log/cross/auto-color” após a execução, foi primeiramente observado em novembro de 2024, mirando sistemas Linux, especialmente em universidades e instituições governamentais nos EUA e na Ásia.

Impacto e resposta

Após a exploração inicial em 25 de abril de 2025, com a conexão IP 91.193.19.109 sendo identificada, o dispositivo comprometido fez solicitações DNS suspeitas relacionadas a domínios OAST em 27 e 28 de abril. Foi baixado um script shell e, posteriormente, o arquivo de malware Auto-Color. A investigação da Darktrace confirmou que este foi o primeiro registro de exploração do SAP NetWeaver culminando na entrega do malware Auto-Color. Medidas de contenção foram implementadas, com a Darktrace aplicando sua capacidade de Resposta Autônoma, limitando ações maliciosas no dispositivo por 30 minutos a partir de 28 de abril.

Mitigações recomendadas

Em resposta às vulnerabilidades identificadas, Mayuresh Dani, Gerente de Pesquisa de Segurança da Qualys Threat Research Unit, salientou:

“Imediatamente, as organizações devem aplicar patches aos sistemas SAP NetWeaver contra CVE-2025-31324, mas se não puderem instalar a correção, devem parar de expor essas instalações à internet, isolá-las e bloquear o endpoint /developmentserver/metadatauploader, além de implementar uma arquitetura de confiança zero que assume a violação e verifica cada transação de rede antes da transmissão.”
(“Immediately patch SAP NetWeaver systems against CVE-2025-31324, but if for some reason, they cannot install the patch, they should immediately stop exposing these SAP NetWeaver installations on the internet, isolate them and block the /developmentserver/metadatauploader endpoint and also deploy a zero-trust architecture that assumes breach and verifies every network transaction before transmission.”)

— Mayuresh Dani, Gerente de Pesquisa de Segurança, Qualys Threat Research Unit

Os riscos associados à CVE-2025-31324 permanecem elevados, uma vez que a vulnerabilidade ainda é explorada ativamente. Portanto, uma vigilância contínua e a implementação de melhores práticas de segurança são cruciais para mitigar ameaças emergentes.

Fonte: (Hack Read – Segurança Cibernética)