- Uma falha crítica no SAP Netweaver ainda está sendo abusada, meses após o patch
- Os pesquisadores o viram usado para implantar a cor automática
- Este backdoor permanece adormecido quando não está em uso
Uma vulnerabilidade no SAP Netweaver está sendo explorada para implantar malware Linux capaz de executar comandos de sistema arbitrário e implantar cargas úteis adicionais, alertaram os especialistas.
Pesquisadores de segurança da Unidade 42 da Palo Alto Networks descobriram um pedaço de malware chamado Auto-Color, um backdoor Linux, apelidado de sua capacidade de se renomear após a instalação.
Os pesquisadores descobriram que era capaz de abrir conchas reversas, executar comandos do sistema arbitrário, atuando como proxy, carregando e modificando arquivos, além de ajustar as configurações dinamicamente. Também foi descoberto que o backdoor permanece principalmente inativo se o servidor C2 estiver inacessível, evitando efetivamente a detecção mantendo -se inativo até que as instruções do operador cheguem.
Tufão de sal
No entanto, os pesquisadores não foram capazes de determinar o vetor de infecção inicial – como o malware chegou aos pontos de extremidade do Target permaneceu um mistério – até agora.
Respondendo a um incidente em abril de 2025, especialistas em segurança cibernética da Darktrace investigaram uma infecção automática em uma empresa de produtos químicos com sede nos EUA. Eles foram capazes de determinar que o vetor de infecção inicial era uma vulnerabilidade crítica no SAP NetWeaver, uma plataforma de tecnologia desenvolvida que serve como base técnica para muitos aplicativos SAP.
A vulnerabilidade foi encontrada no elemento de uploader de metadados com compositores visuais da plataforma, que não foi protegido com uma autorização adequada. Como resultado, agentes não autenticados foram autorizados a fazer upload de binários executáveis potencialmente maliciosos que poderiam causar danos graves. Ele é rastreado como CVE-2025-31324 e recebeu uma pontuação de gravidade de 9,8/10-crítica.
A SAP corrigiu o problema no final de abril de 2025, mas na época, várias empresas de segurança já estavam vendo ataques na natureza. RELIAQUEST, ONAPSIS, WatchTowr, Mandiant, todos relataram observar os atores de ameaças que aproveitavam essa falha, e entre eles – grupos chineses patrocinados pelo Estado também.
Dado o potencial destrutivo da falha e o fato de um patch estar disponível há meses, os administradores do Linux são aconselhados a aplicá -la sem hesitar e mitigar ameaças em potencial.
Via BleepingComputer
Fique conectado