Um novo exploit público está explorando falhas críticas no SAP NetWeaver, permitindo que atacantes obtenham acesso não autorizado e executem comandos remotamente em sistemas vulneráveis. As falhas, já corrigidas pela SAP em abril e maio de 2025, estão sendo usadas contra organizações que ainda não aplicaram as atualizações.
A exploração combina duas vulnerabilidades graves. A primeira, identificada como CVE-2025-31324, possui pontuação CVSS de 10.0 e permite que invasores contornem a autenticação. A segunda, CVE-2025-42999, classificada com CVSS 9.1, explora uma falha de desserialização insegura. Juntas, elas possibilitam a instalação de cargas maliciosas e a execução de comandos com privilégios administrativos. Segundo especialistas em segurança, o ataque já vem sendo utilizado por grupos de ransomware e extorsão de dados, como Qilin, BianLian e RansomExx, além de coletivos de espionagem ligados à China que miram infraestruturas críticas.
Isso reforça o alto potencial de impacto da exploração. A divulgação inicial do exploit foi feita pela comunidade vx-underground, que apontou como responsável a nova aliança criminosa Scattered Lapsus$ Hunters, formada por membros dos grupos Scattered Spider e ShinyHunters. O código público amplia o risco de disseminação rápida da técnica entre cibercriminosos. De acordo com análises técnicas, o ataque funciona em duas etapas. Primeiro, a falha CVE-2025-31324 é explorada para burlar autenticação e inserir um payload malicioso. Em seguida, a vulnerabilidade CVE-2025-42999 é usada para executar o código com privilégios elevados, permitindo o controle completo do sistema afetado. Uma vez dentro da rede, os invasores podem usar o acesso para instalar web shells, executar ataques do tipo living-off-the-land, roubar dados corporativos e comprometer processos de negócio. Por rodarem com privilégios de administrador SAP, os comandos dão controle amplo sobre informações e recursos críticos. Pesquisadores alertam que o gadget de desserialização utilizado no ataque pode ser reaproveitado em outros cenários, incluindo vulnerabilidades corrigidas pela SAP em julho de 2025. Isso aumenta o risco de novos vetores de ataque aproveitando a mesma técnica.
