Explotación de vulnerabilidad crítica en SAP NetWeaver por grupo de hackers vinculado a China
Un actor de amenazas vinculado a China, identificado bajo el alias Chaya_004, ha sido detectado explotando activamente una vulnerabilidad crítica en SAP NetWeaver. Según un informe publicado por Forescout Vedere Labs, este grupo ha estado utilizando la falla CVE-2025-31324 (con puntuación CVSS de 10.0) desde el 29 de abril de 2025 para comprometer sistemas empresariales.
Detalles técnicos de la vulnerabilidad
CVE-2025-31324 es una vulnerabilidad de ejecución remota de código (RCE) en SAP NetWeaver, la plataforma tecnológica subyacente a muchas soluciones empresariales críticas de SAP. La naturaleza crítica de esta falla (10.0 en la escala CVSS) se debe a:
- Permite la ejecución arbitraria de código sin autenticación
- Afecta a componentes centrales de NetWeaver
- Puede comprometer toda la infraestructura SAP de una organización
- Tiene un vector de ataque de red (remoto)
Infraestructura maliciosa y técnicas de ataque
Forescout Vedere Labs ha identificado una infraestructura maliciosa asociada a Chaya_004 que incluye:
- Servidores de comando y control (C2) alojados en proveedores de cloud
- Dominios falsos que imitan servicios legítimos
- Herramientas personalizadas para la explotación automatizada
- Mecanismos de persistencia en sistemas comprometidos
El grupo utiliza técnicas avanzadas de evasión que incluyen:
- Ofuscación de tráfico malicioso
- Uso de protocolos legítimos para comunicación C2
- Ejecución en memoria para evitar detección
Implicaciones para la seguridad empresarial
La explotación de esta vulnerabilidad representa un riesgo significativo para organizaciones que utilizan SAP porque:
- SAP NetWeaver es fundamental para operaciones empresariales críticas
- Un compromiso puede permitir acceso a datos sensibles financieros y de clientes
- Puede servir como punto de entrada para movimientos laterales en la red
- El tiempo de parche puede ser prolongado en entornos SAP complejos
Recomendaciones de mitigación
Las organizaciones deben implementar las siguientes medidas de protección:
- Aplicar inmediatamente el parche SAP Security Note correspondiente
- Restringir el acceso a interfaces de administración de SAP NetWeaver
- Implementar segmentación de red para sistemas SAP críticos
- Monitorear tráfico sospechoso hacia/desde servidores SAP
- Actualizar reglas IDS/IPS para detectar intentos de explotación
Para más detalles sobre esta investigación, consultar el informe original de Forescout Vedere Labs.
Consideraciones adicionales
Este incidente destaca la importancia de:
- Programas de gestión de vulnerabilidades proactivos para sistemas ERP
- Capacidades avanzadas de threat hunting en entornos SAP
- Colaboración entre equipos de seguridad IT y SAP Basis
- Evaluación continua de controles de seguridad en arquitecturas SAP
Las organizaciones deben priorizar la protección de sus entornos SAP dada su criticidad para las operaciones empresariales y el creciente interés de actores avanzados en estas plataformas.
