Na quinta-feira da semana passada, os serviços de segurança Rimini Protect™ identificaram que uma vulnerabilidade crítica no SAP NetWeaver estava sendo ativamente explorada por agentes maliciosos. Essa exploração permite que invasores comprometam sistemas sem necessidade de autenticação, possibilitando então movimentos laterais para realizar outras atividades maliciosas, como exfiltração de dados e ataques de ransomware. O score CVSS dessa vulnerabilidade é o mais alto possível: 10 de 10[1], e o comportamento exploratório tem sido extenso.
Dada a gravidade dessa vulnerabilidade e seu impacto generalizado nos usuários do SAP, estamos compartilhando publicamente uma versão resumida do nosso Relatório Zero-Day, que normalmente é restrito a nossos clientes. Este relatório inclui opções gerais de mitigação e orientações para ajudar a identificar e lidar com essa ameaça. Estamos disponibilizando este relatório sem necessidade de assinatura, sem exigência de ser cliente da Rimini Street e sem nenhuma condição oculta. Sinta-se à vontade para baixar o relatório agora.
Para os assinantes do Rimini Protect™ Application Risk Mitigation (ARM), nenhuma ação é necessária para se proteger contra a exploração dessa vulnerabilidade.
Para todos os clientes do Rimini ONE™ [aqueles que recebem suporte de software de Nível 4 e serviços gerenciados da Rimini Street], as correções já foram aplicadas proativamente em seu ambiente. Nenhuma ação é necessária por parte de vocês para garantir a proteção.
Visão geral da atividade:
- 24 de abril de 2025: Os serviços de segurança Rimini Protect™ identificaram que uma vulnerabilidade de Upload de Arquivo Sem Restrições no SAP NetWeaver estava sendo explorada ativamente na prática.
- 24 de abril de 2025: O NIST (Banco Nacional de Vulnerabilidades) publicou o CVE-2025-31324 descrevendo essa vulnerabilidade.[2]
- 25 de abril de 2025: A equipe do Rimini Protect notificou nossos clientes sobre a vulnerabilidade descoberta e as opções de mitigação.
- 29 de abril de 2025: A agência governamental dos EUA CISA (Agência de Segurança Cibernética e Infraestrutura) adicionou essa vulnerabilidade à lista de Vulnerabilidades Conhecidas Exploradas (KEV),[3] indicando publicamente a exploração ativa.
Os clientes do Rimini Protect receberam opções de mitigação quatro dias antes da notificação da CISA ser enviada ao público.
Como isso está afetando os clientes SAP:
O mecanismo de autorização do Metadata Uploader no SAP NetWeaver Visual Composer falha ao validar adequadamente se os usuários têm as permissões apropriadas antes de permitir o upload de arquivos.
Invasores não autenticados podem fazer upload de arquivos executáveis em pastas públicas e comprometer o sistema. A partir daí, os atacantes podem se mover lateralmente dentro do ambiente da vítima e realizar ataques como ransomware.
Baixe agora o Relatório Zero-Day do Rimini Protect™, compartilhe com sua equipe de TI e Segurança e tome medidas imediatamente.
Para mais informações sobre as soluções de segurança proativas, rápidas e econômicas da Rimini Street, desenvolvidas especificamente para ambientes de software corporativo, clique aqui agora.
Conteúdo contribuído por Kevin Eyre, Diretor Sênior de Marketing de Produto, Rimini Street
[1] CVE.org: CVE-2025-31324
[2] Banco Nacional de Vulnerabilidades do NIST Detalhes do CVE-2025-31324
[3] CISA adiciona vulnerabilidade conhecida explorada ao catálogo
