Detecção de CVE-2025-31324: Zero-Day do SAP NetWeaver Sob Exploração Ativa Expondo Sistemas Críticos à Execução Remota de Código
Índice:
Vulnerabilidades de dia zero não são mais anomalias raras — agora são uma arma central no arsenal do atacante moderno, com atividade de exploração escalando ano a ano. De acordo com o Grupo de Inteligência de Ameaças do Google (GTIG), somente em 2024, 75 vulnerabilidades de dia zero foram exploradas em campo — um indicador claro da crescente ameaça aos sistemas críticos de negócios.
Uma das últimas vulnerabilidades críticas a emergir, CVE-2025-31324, é uma falha de upload de arquivo sem autenticação de máxima severidade que afeta o SAP NetWeaver, uma plataforma central amplamente usada por governos e grandes empresas. Com mais de 1.200 instâncias SAP NetWeaver voltadas para a internet em risco, CVE-2025-31324 representa uma ameaça significativa, possibilitando a total violação do sistema.
Detectar Exploração de Vulnerabilidade CVE-2025-31324
Em 2024, o GTIG identificou 33 vulnerabilidades de dia zero exploradas em software e aparelhos empresariais — tecnologias usadas principalmente em ambientes de negócios. Notavelmente, 44% de todos os dias zero do ano passado visaram produtos empresariais, marcando uma clara escalada no foco dos atacantes na infraestrutura crítica de negócios. Para mitigar efetivamente os riscos potenciais, as equipes de segurança devem se concentrar nas estratégias de identificação precoce e resposta rápida que mantenham a frente das ameaças emergentes que exploram vulnerabilidades recém-divulgadas.
Registre-se na Plataforma SOC Prime e acesse um conjunto de regras Sigma selecionadas abordando tentativas de exploração do CVE-2025-31324 junto com um conjunto completo de produtos para engenharia de detecção com IA, caça às ameaças automatizada e detecção avançada de ameaças. Basta clicar no Explore Detecções botão abaixo para aprofundar-se imediatamente em um stack de detecção relevante.
Todas as regras são compatíveis com múltiplas tecnologias SIEM, EDR e Data Lake, e mapeadas para MITRE ATT&CK® para agilizar a investigação de ameaças. Além disso, cada regra é enriquecida com metadados extensivos, incluindo CTI referências, cronogramas de ataque, configurações de auditoria, recomendações de triagem e muito mais.
Defensores cibernéticos em busca de conteúdo mais relevante para detectar ciberataques que utilizam vulnerabilidades emergentes podem acessar a coleção completa dos algoritmos de detecção relevantes pesquisando no Threat Detection Marketplace com a tag “CVE”.
Além disso, profissionais de segurança podem agilizar a investigação de ameaças usando Uncoder AI – um IDE privado & co-piloto para engenharia de detecção orientada a ameaças – agora completamente gratuito e disponível sem limites de token nas funcionalidades de IA. Gere algoritmos de detecção a partir de relatórios de ameaças brutos, permita varreduras rápidas de IOC em consultas otimizadas para desempenho, preveja tags ATT&CK, otimize o código da consulta com dicas de IA, faça a tradução para várias linguagens de SIEM, EDR e Data Lake.
Análise do CVE-2025-31324
Divulgada pela SAP em 24 de abril de 2025, e abordada em seu Dia do Patch de Segurança de abril de 2025, o CVE-2025-31324 é uma vulnerabilidade de upload de arquivo sem autenticação que possui uma pontuação máxima CVSS v3 de 10,0. A falha resulta de uma verificação de autorização ausente no componente Metadata Uploader, permitindo que atacantes não autenticados enviem solicitações POST especialmente elaboradas para o /developmentserver/metadatauploader endpoint. Isso leva a uploads de arquivos não autorizados que podem resultar em execução remota de código (RCE) e comprometimento total do sistema.
Apesar do patch implementado, a equipe de Managed Detection and Response (MDR) da Rapid7 confirmou exploração ativa da vulnerabilidade datando de 27 de março de 2025, particularmente no setor de manufatura.
Os atores de ameaças usaram a falha para fazer upload de web shells maliciosos baseados em JSP no diretório:
j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root/, permitindo acesso remoto persistente, execução de código e exfiltração de dados. Esses web shells leves são acessíveis via solicitações GET simples, efetivamente transformando servidores vulneráveis da SAP em lançadores controlados por atacantes, conforme a pesquisa da ReliaQuest indica.
Alguns incidentes também envolveram a aplicação de ferramentas como a Brute Ratel C4 framework pós-exploração, e usaram técnicas de evasão como o Heaven’s Gate para contornar defesas de endpoint — destacando a natureza profissional dos atores de ameaça envolvidos.
Notavelmente, o componente vulnerável Metadata Uploader faz parte da pilha Java do SAP NetWeaver, embora não seja instalado por padrão. No entanto, pesquisadores da Onapsis observaram que muitas organizações ativam esse recurso para permitir que especialistas em processos de negócios criem aplicativos empresariais sem a necessidade de codificação tradicional. A análise da Onapsis revelou que atacantes explorando o CVE-2025-31324 podem instalar web shells que proporcionam acesso em nível administrativo a todo o ambiente SAP, incluindo entrada irrestrita ao banco de dados do sistema. Com esse nível de acesso, os atacantes podem implantar ransomware, interromper aplicativos SAP, exfiltrar dados ou realizar uma ampla gama de ações maliciosas.
Para minimizar os riscos de exploração de zeros-days semelhantes e outros CVEs conhecidos, a Plataforma SOC Prime fornece às equipes de segurança um conjunto completo de produtos construído em uma fusão única de tecnologias, apoiado por IA e automação, e alimentado por inteligência de ameaça em tempo real para ajudar organizações globais em múltiplos setores da indústria e ambientes diversos a escalar suas operações de SOC. Registre-se agora para se antecipar às ameaças cibernéticas e se manter à frente de qualquer potencial ataque cibernético contra o seu negócio.
