Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Vulnerabilidad Vulnerabilidad CVE-2025-31324

Vulnerabilidad CVE-2025-31324

Por Mezo en Vulnerabilidad
Traducir a:

Investigadores de seguridad han vinculado a un actor de amenazas afiliado a China, denominado Chaya_004, con la explotación de una vulnerabilidad crítica de SAP NetWeaver identificada como CVE-2025-31324. Con la puntuación CVSS más alta de 10.0, esta falla permite a los atacantes lograr la ejecución remota de código (RCE) mediante la carga de shells web amenazantes a través del endpoint vulnerable /developmentserver/metadatauploader.

Esta vulnerabilidad captó la atención por primera vez a finales de abril de 2025, cuando los equipos de seguridad informática descubrieron que se estaba explotando activamente. Los atacantes la han utilizado para implementar shells web y herramientas de postexplotación como Brute Ratel C4.

Fallout: Industrias en la mira

Desde marzo de 2025, esta vulnerabilidad ha sido ampliamente explotada en diversas industrias y geografías. Se cree que la explotación inicial ocurrió el 12 de marzo, con intrusiones exitosas confirmadas entre el 14 y el 31 de marzo.

Los sectores comprometidos incluyen:

  • Energía y servicios públicos
  • Fabricación
  • Medios de comunicación y entretenimiento
  • Petróleo y gas
  • productos farmacéuticos
  • Organizaciones minoristas y gubernamentales

Estos ataques generalizados apuntan a una campaña global, que podría afectar a cientos de sistemas SAP.

Dentro de la infraestructura dañina

El actor de amenazas Chaya_004 ha estado al frente de estas campañas, alojando un shell inverso web llamado SuperShell en la dirección IP 47.97.42[.]177. Esta infraestructura también reveló otros elementos sospechosos:

  • Puerto 3232/HTTP, que sirve un certificado autofirmado que imita a Cloudflare
  • Varias herramientas y servicios en idioma chino alojados a través de proveedores de nube chinos

Las herramientas de malware asociadas con el grupo incluyen:

  • NPS (Servidor de Políticas de Red) : Esta herramienta se utiliza a menudo para gestionar las políticas de acceso a la red. Los atacantes pueden explotarla para manipular el tráfico de red, lo que podría permitir el acceso no autorizado o interrumpir la comunicación.
  • SoftEther VPN : un software VPN versátil y de código abierto que los atacantes pueden utilizar indebidamente para eludir la seguridad de la red y establecer conexiones cifradas con sistemas remotos, lo que ayuda a la exfiltración sigilosa de datos o al movimiento lateral dentro de redes comprometidas.
  • Cobalt Strike : Una herramienta de postexplotación ampliamente conocida, utilizada para amenazas persistentes avanzadas. Permite a los atacantes simular ciberataques reales, lo que les permite controlar y explotar equipos comprometidos de forma encubierta.
  • Faro de reconocimiento de activos (ARL) : una herramienta de reconocimiento que ayuda a los atacantes a mapear los activos de la red, identificar vulnerabilidades y obtener información sobre objetivos potenciales dentro de una red, lo que ayuda a realizar ataques más efectivos y enfocados.
  • Pocassist : una herramienta diseñada para ayudar en la creación y explotación de exploits de prueba de concepto (PoC), ayudando a los atacantes a automatizar el proceso de prueba de vulnerabilidades y ejecución de exploits específicos.
  • GOSINT : una herramienta utilizada para la recopilación de inteligencia de fuente abierta (OSINT), que ayuda a los atacantes a recopilar información disponible públicamente para ayudar en el reconocimiento, como datos de empleados, detalles de la red u otra información confidencial que pueda aprovecharse en los ataques.
  • GO Simple Tunnel : una herramienta de tunelización simple utilizada por los atacantes para eludir los firewalls y otras medidas de seguridad de la red, creando túneles cifrados que pueden usarse para mover tráfico sin ser detectado o acceder a sistemas restringidos.
  • Túnel simple GO

Este sofisticado conjunto de herramientas, junto con el uso de infraestructura china, indica claramente que hay un actor amenazante que opera desde China.

Mantenerse a la vanguardia: Estrategias de defensa contra la explotación continua

Aunque se han publicado parches de seguridad, persiste la actividad perjudicial tras la aplicación de los parches, lo que indica que los shells web previamente implementados están siendo reutilizados y ampliados por un amplio espectro de estafadores, desde oportunistas hasta adversarios altamente cualificados. En este entorno de amenazas en constante evolución, las organizaciones deben implementar medidas de remediación integrales, que incluyen la aplicación inmediata de las actualizaciones oficiales de SAP, la restricción rigurosa del acceso a los endpoints vulnerables y la desactivación de servicios no esenciales como Visual Composer.

Además, es fundamental mantener una vigilancia rigurosa mediante la monitorización continua de sistemas y registros para detectar comportamientos anómalos. Estas medidas defensivas son vitales para reducir la posibilidad de nuevas vulnerabilidades y salvaguardar la integridad operativa de las infraestructuras de SAP.

Tendencias

Mas Visto

Cargando...