Sap

A SAP lançou atualizações de segurança para corrigir várias falhas, incluindo três vulnerabilidades críticas no SAP NetWeaver. A primeira, CVE-2025-42944, com uma pontuação CVSS de 10.0, é uma vulnerabilidade de desserialização que permite a um atacante não autenticado executar comandos do sistema operacional ao enviar um payload malicioso para uma porta aberta. A segunda, CVE-2025-42922, com pontuação de 9.9, permite que um usuário autenticado não administrativo faça o upload de arquivos arbitrários. A terceira, CVE-2025-42958, com pontuação de 9.1, envolve uma falha de verificação de autenticação que pode permitir que usuários não autorizados acessem informações sensíveis e funcionalidades administrativas. Além disso, uma vulnerabilidade de validação de entrada no SAP S/4HANA (CVE-2025-42916) foi identificada, permitindo que atacantes com acesso privilegiado excluam o conteúdo de tabelas de banco de dados. Embora não haja evidências de que essas falhas tenham sido exploradas ativamente, é crucial que os usuários apliquem as atualizações o mais rápido possível para garantir a proteção adequada.

Uma vulnerabilidade de alta severidade no SAP S/4HANA, identificada como CVE-2025-42957 e com um score CVSS de 9.9, está sendo ativamente explorada. Essa falha permite que um usuário com privilégios baixos, que possua acesso mínimo ao SAP, realize injeção de código remoto, resultando em uma tomada de controle total do sistema. A vulnerabilidade foi descoberta pelo SecurityBridge em 27 de junho de 2025 e divulgada de forma responsável à SAP, que lançou correções em 11 de agosto de 2025. No entanto, tentativas de exploração já foram observadas no mundo real. Para que um ataque seja bem-sucedido, é necessário apenas um usuário SAP válido com acesso a um módulo RFC vulnerável e a autorização S_DMIS com atividade 02. Uma vez explorada, a falha permite ao atacante executar código ABAP arbitrário, modificar ou excluir registros no banco de dados SAP, criar novos usuários administrativos com privilégios totais e até implantar ransomware. As organizações que utilizam SAP S/4HANA, tanto em ambientes on-premise quanto em nuvem privada, devem aplicar as atualizações de segurança imediatamente para mitigar esse risco crítico.

Uma vulnerabilidade crítica de segurança, identificada como CVE-2025-42957, está afetando o software SAP S/4HANA, amplamente utilizado para gestão empresarial. Com uma pontuação CVSS de 9.9, essa falha permite a injeção de código ABAP arbitrário por atacantes com privilégios de usuário, comprometendo a confidencialidade, integridade e disponibilidade do sistema. A exploração bem-sucedida pode levar a sérias consequências, como a modificação de bancos de dados, criação de contas de superusuário e instalação de ransomware. A empresa SecurityBridge alertou que a exploração ativa já foi observada, afetando tanto as edições on-premise quanto as de nuvem privada. Embora a exploração em larga escala ainda não tenha sido detectada, a facilidade de engenharia reversa do patch torna a situação alarmante. As organizações são aconselhadas a aplicar os patches imediatamente, monitorar logs em busca de chamadas RFC suspeitas e implementar medidas de segmentação e backup adequadas. Recomenda-se também a implementação do SAP UCON para restringir o uso de RFC e revisar o acesso ao objeto de autorização S_DMIS.

Um exploit armado visando a vulnerabilidade crítica da SAP, identificada como CVE-2025-31324, foi publicamente liberado, gerando preocupações imediatas para organizações que operam sistemas SAP não corrigidos. O exploit, divulgado em 15 de agosto de 2025, pelo VX Underground via X (anteriormente Twitter), foi supostamente distribuído pelo grupo de ameaças ‘Scattered LAPSUS$ Hunters – ShinyHunters’ através de um canal no Telegram.

A vulnerabilidade CVE-2025-31324, que afeta o SAP NetWeaver Visual Composer, possui uma pontuação máxima de severidade CVSS de 10.0, permitindo que atacantes não autenticados comprometam completamente o sistema. O exploit combina essa vulnerabilidade com a CVE-2025-42999, uma falha de desserialização descoberta pelos Onapsis Research Labs. O vetor de ataque utiliza um processo de exploração em duas etapas: primeiro, os atacantes aproveitam a vulnerabilidade de bypass de autenticação para contornar controles de segurança e, em seguida, exploram a falha de desserialização para executar cargas maliciosas com privilégios de administrador SAP.

Uma nova exploração que combina duas falhas críticas no SAP NetWeaver foi identificada, colocando em risco a segurança de diversas organizações. As vulnerabilidades, CVE-2025-31324 e CVE-2025-42999, permitem que atacantes não autenticados executem comandos arbitrários no sistema SAP, levando a uma possível execução remota de código (RCE) e comprometimento total dos dados e processos empresariais. A CVE-2025-31324, com uma pontuação CVSS de 10.0, refere-se à falta de verificação de autorização no servidor de desenvolvimento Visual Composer do SAP, enquanto a CVE-2025-42999, com pontuação de 9.1, diz respeito à deserialização insegura. Ambas as falhas foram corrigidas pela SAP em abril e maio de 2025, mas já estavam sendo exploradas por grupos de ransomware e espionagem antes da correção. A Onapsis, empresa de segurança especializada em SAP, alerta que essas vulnerabilidades podem ser usadas para implantar shells web e realizar ataques que não requerem a instalação de artefatos adicionais no sistema comprometido. É crucial que os usuários do SAP apliquem as correções mais recentes e monitorem seus sistemas para sinais de comprometimento.