CISA añade vulnerabilidad crítica en SAP NetWeaver a su catálogo KEV: CVE-2025-31324
El 29 de abril de 2025, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) agregó una vulnerabilidad crítica en SAP NetWeaver a su catálogo Known Exploited Vulnerabilities (KEV). Identificada como CVE-2025-31324, esta falla de día cero posee un puntaje CVSS de 10.0 y ha sido explotada activamente desde al menos marzo de 2025. Fuente original
Detalles técnicos de CVE-2025-31324
CVE-2025-31324 es una vulnerabilidad de carga ilimitada de archivos (CWE-434) que afecta al componente Metadata Uploader en SAP NetWeaver Visual Composer. Permite a atacantes no autenticados subir binarios ejecutables maliciosos a sistemas vulnerables. El endpoint afectado es developmentserver/metadatauploader, expuesto sin autenticación.
- Productos afectados: SAP NetWeaver Application Server Java (AS Java), específicamente el componente Visual Composer (VCFRAMEWORK 7.50).
- Impacto: Ejecución remota de código (RCE) y compromiso total del sistema.
- Prerrequisitos para explotación: Acceso de red al endpoint vulnerable; no se requieren credenciales.
Explotación en entornos reales
Según investigaciones de ReliaQuest y Onapsis, actores de amenazas han utilizado esta vulnerabilidad para cargar webshells JSP en sistemas SAP comprometidos. Los ataques permiten:
- Control completo del sistema SAP afectado.
- Acceso a datos sensibles como registros financieros e información personal.
- Posibilidad de pivotar hacia sistemas conectados.
Onapsis estima que entre el 50-70% de los sistemas Java tienen habilitado este componente debido a su popularidad entre especialistas en procesos empresariales.
Mitigaciones y respuesta de SAP
SAP ha emitido las siguientes medidas de remediación:
- Parche de emergencia: Disponible desde el 24 de abril de 2025 mediante Security Note #3594142.
- Mitigaciones temporales: Detalladas en SAP Note #3593336 para organizaciones que no puedan aplicar el parche inmediatamente.
- Guía de detección: SAP publicó un documento FAQ con indicadores de compromiso, como archivos sospechosos (.jsp, .java o .class) en directorios específicos.
Implicaciones para organismos federales y empresas
De acuerdo con la Binding Operational Directive (BOD) 22-01 de CISA:
- Agencias federales deben remediar la vulnerabilidad antes del 20 de mayo de 2025.
- Organizaciones privadas deben priorizar la aplicación del parche, especialmente aquellas con sistemas SAP críticos para operaciones empresariales.
Expertos enfatizan el riesgo particular para entornos SAP NetWeaver que tradicionalmente reciben menos atención de seguridad comparados con infraestructuras cloud modernas.
