Detección de CVE-2025-31324: La Vulnerabilidad Zero-Day en SAP NetWeaver bajo Explotación Activa Expone Sistemas Críticos a Ejecución Remota de Código

[post-views]
mayo 01, 2025 · 5 min de lectura
Detección de CVE-2025-31324: La Vulnerabilidad Zero-Day en SAP NetWeaver bajo Explotación Activa Expone Sistemas Críticos a Ejecución Remota de Código

Las vulnerabilidades de día cero ya no son anomalías raras; ahora son un arma central en el arsenal moderno de los atacantes, con actividad de explotación en aumento año tras año. Según el Grupo de Inteligencia de Amenazas de Google (GTIG), solo en 2024, se explotaron 75 vulnerabilidades de día cero en el mercado, un indicador claro de la creciente amenaza para los sistemas críticos para el negocio.

Una de las últimas vulnerabilidades críticas que ha surgido, CVE-2025-31324, es una falla de carga de archivos no autenticada de máxima severidad que afecta a SAP NetWeaver, una plataforma central utilizada ampliamente tanto por gobiernos como por grandes empresas. Con más de 1,200 instancias de SAP NetWeaver expuestas al internet en riesgo, CVE-2025-31324 representa una amenaza significativa al permitir la compromisión completa del sistema.

Detectar la explotación de la vulnerabilidad CVE-2025-31324

En 2024, GTIG identificó 33 vulnerabilidades de día cero explotadas en software empresarial y dispositivos, tecnologías utilizadas principalmente en entornos de negocios. Notablemente, el 44% de todas las vulnerabilidades de día cero el año pasado estaban dirigidas a productos empresariales, marcando una clara escalada en el enfoque de los atacantes sobre la infraestructura crítica para negocios. Para mitigar efectivamente los riesgos potenciales, los equipos de seguridad deben enfocarse en estrategias de identificación temprana y respuesta rápida para adelantarse a las amenazas emergentes que explotan las vulnerabilidades recién divulgadas.

Regístrate en la Plataforma SOC Prime y accede a un conjunto de reglas Sigma seleccionadas que abordan intentos de explotación de CVE-2025-31324 junto con un conjunto completo de productos para la ingeniería de detección impulsada por IA, caza de amenazas automatizada y detección avanzada de amenazas. Simplemente presiona el botón Explorar Detecciones a continuación para profundizar inmediatamente en un conjunto de detección relevante.

Explorar Detecciones

Todas las reglas son compatibles con múltiples tecnologías SIEM, EDR y Data Lake, y se mapearon a MITRE ATT&CK® para facilitar la investigación de amenazas. Además, cada regla está enriquecida con metadatos extensos, incluyendo CTI referencias, cronologías de ataque, configuraciones de auditoría, recomendaciones de triaje y más.

Los defensores cibernéticos que buscan contenido más relevante para detectar ciberataques que aprovechan vulnerabilidades en tendencia pueden acceder a toda la colección de algoritmos de detección relevantes buscando en el Mercado de Detección de Amenazas con la etiqueta “CVE”.

Además, los profesionales de seguridad pueden simplificar la investigación de amenazas utilizando Uncoder AI – un IDE privado y copiloto para la ingeniería de detección informada por amenazas – ahora completamente gratis y disponible sin límites de tokens en funciones de IA. Genera algoritmos de detección a partir de informes de amenazas en bruto, permite barridos rápidos de IOC en consultas optimizadas para rendimiento, predice etiquetas ATT&CK, optimiza el código de consulta con consejos de IA y tradúcelo a múltiples lenguajes de SIEM, EDR y Data Lake.

Análisis de CVE-2025-31324

Divulgada por SAP el 24 de abril de 2025 y abordada en su Día de Parches de Seguridad de abril de 2025, CVE-2025-31324 es una vulnerabilidad de carga de archivos no autenticada que cuenta con una puntuación CVSS v3 máxima de 10.0. La falla proviene de la falta de una verificación de autorización en el componente Metadata Uploader, permitiendo que los atacantes no autenticados envíen solicitudes POST especialmente diseñadas al endpoint /developmentserver/metadatauploader . Esto lleva a cargas de archivos no autorizadas que pueden resultar en ejecución remota de código (RCE) y compromisos completos del sistema.

A pesar del parche implementado, el equipo de Respuesta y Detección Administrada (MDR) de Rapid7 ha confirmado explotaciones activas de la vulnerabilidad que datan del 27 de marzo de 2025, particularmente en el sector manufacturero.

Los actores de amenazas han utilizado la falla para cargar shells web maliciosos basados en JSP en el directorio:
 j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root/, lo que permite acceso remoto persistente, ejecución de código y exfiltración de datos. Estos shells web ligeros son accesibles a través de simples solicitudes GET, convirtiendo efectivamente a los servidores SAP vulnerables en plataformas de lanzamiento controladas por el atacante, como indica la investigación de ReliaQuest.

Algunos incidentes también involucraron la aplicación de herramientas como el marco de post-explotación Brute Ratel C4 , y utilizaron técnicas de evasión como Heaven’s Gate para eludir las defensas de los endpoints, destacando la naturaleza profesional de los actores de amenazas involucrados.

Notablemente, el componente vulnerable Metadata Uploader es parte del stack Java de SAP NetWeaver, aunque no se instala por defecto. Sin embargo, los investigadores de Onapsis notaron que muchas organizaciones habilitan esta característica para permitir que los especialistas en procesos empresariales creen aplicaciones empresariales sin la necesidad de codificación tradicional. El análisis de Onapsis reveló que los atacantes que explotan CVE-2025-31324 pueden instalar shells web que brindan acceso de nivel administrativo a todo el entorno SAP, incluyendo entrada ilimitada a la base de datos del sistema. Con este nivel de acceso, los atacantes pueden desplegar ransomware, interrumpir aplicaciones SAP, exfiltrar datos o llevar a cabo una amplia gama de acciones maliciosas.

Para minimizar los riesgos de explotación de días cero similares y otros CVEs conocidos, la Plataforma SOC Prime proporciona a los equipos de seguridad un conjunto completo de productos basado en una fusión única de tecnologías, respaldado por IA y automatización, y potenciado por inteligencia de amenazas en tiempo real para ayudar a organizaciones globales de diversos sectores industriales y entornos diversos a escalar sus operaciones de SOC. Regístrate ahora para superar las amenazas cibernéticas y estar al tanto de cualquier potencial ciberataque contra tu negocio.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

CVE-2025-43300 Vulnerabilidad: Zero-Day en iOS, iPadOS y macOS bajo explotación activa 4 min de lectura Últimas Amenazas CVE-2025-43300 Vulnerabilidad: Zero-Day en iOS, iPadOS y macOS bajo explotación activa by Veronika Telychko CVE-2025-9074: Vulnerabilidad crítica en Docker Desktop permite acceso local a la API de Docker Engine mediante subred 3 min de lectura Últimas Amenazas CVE-2025-9074: Vulnerabilidad crítica en Docker Desktop permite acceso local a la API de Docker Engine mediante subred by Daryna Olyniychuk Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom 5 min de lectura Últimas Amenazas Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom by Daryna Olyniychuk
Todas las noticias