Uma nova vulnerabilidade SAP está preocupando especialistas de cibersegurança em todo o mundo. Pesquisadores confirmaram que um exploit público já circula em fóruns clandestinos, combinando duas falhas críticas no SAP NetWeaver para permitir execução remota de código (RCE) e assumir o controle completo de sistemas corporativos.
As falhas CVE-2025-31324 e CVE-2025-42999 estão sendo exploradas em conjunto por grupos de ransomware e espionagem digital. Essa cadeia de ataque, conhecida como exploit chain, abre a porta para invasores comprometerem servidores SAP sem autenticação, atingindo diretamente o coração dos processos empresariais.
A gravidade é tamanha que especialistas classificaram a ameaça com pontuação CVSS 10.0, o nível mais alto de risco. Isso significa que organizações que ainda não aplicaram as correções estão em perigo iminente de invasões, vazamento de dados e paralisação de operações críticas.
O que é o SAP NetWeaver e por que isso importa?
O SAP NetWeaver é uma plataforma fundamental que integra aplicações e processos de negócios em empresas globais. Entre seus módulos está o Visual Composer, usado para criar e gerenciar interfaces.
Por estar profundamente enraizado em processos financeiros, logísticos e operacionais, qualquer falha de segurança SAP nessa camada expõe dados estratégicos e pode interromper cadeias inteiras de fornecimento. Em outras palavras: explorar o NetWeaver é equivalente a comprometer o “cérebro” corporativo de milhares de empresas.
A anatomia do ataque: Como as falhas CVE-2025-31324 e CVE-2025-42999 são combinadas
O conceito de exploit chain refere-se ao encadeamento de vulnerabilidades distintas para ampliar o impacto de um ataque. Neste caso, criminosos unem duas falhas graves do SAP em sequência, obtendo acesso inicial e escalando privilégios até o controle completo.
Passo 1: CVE-2025-31324 – A porta de entrada sem autenticação
A primeira falha permite que invasores contornem verificações de autorização no SAP NetWeaver. Com isso, eles conseguem enviar payloads maliciosos sem precisar de credenciais válidas, abrindo a porta para a segunda etapa da exploração.
Passo 2: CVE-2025-42999 – A execução do código via desserialização insegura
Uma vez dentro, a exploração da CVE-2025-42999 utiliza um processo de desserialização insegura. Essa técnica consiste em manipular objetos de dados que, ao serem processados pelo sistema, executam comandos arbitrários.
Na prática, isso significa que o invasor pode “desempacotar” e executar código malicioso dentro do ambiente SAP, avançando para o comprometimento total.
O resultado: Execução remota de código (RCE) e controle total
Ao encadear as duas falhas, o atacante atinge o cenário mais perigoso: execução remota de código com privilégios administrativos. A partir daí, pode instalar backdoors, exfiltrar dados sensíveis e até derrubar sistemas críticos, impactando diretamente a operação da empresa.
Os protagonistas da ameaça: De ransomware a espionagem
Segundo relatórios da Onapsis e análises do vx-underground, vários grupos já estão explorando essas falhas. Entre eles:
- Qilin e BianLian – especializados em ransomware direcionado a grandes corporações.
- RansomExx – conhecido por ataques devastadores em ambientes corporativos e governamentais.
- Equipes de espionagem cibernética ligadas a Estados-nação, focadas em roubo de dados estratégicos.
Um ponto de alerta adicional é a aparição da aliança Scattered Lapsus$ Hunters, que reúne ex-membros do Lapsus$ e outros atores, aumentando a sofisticação e alcance das campanhas.
O perigo dos ataques ‘Living-off-the-Land’ (LotL)
Outro fator que complica a detecção dessas invasões é a adoção da técnica Living-off-the-Land (LotL). Em vez de carregar malwares pesados, os invasores abusam de ferramentas legítimas já presentes no sistema operacional – como PowerShell ou comandos nativos do Windows/Linux.
Isso torna a identificação extremamente difícil, já que as atividades parecem legítimas, permitindo que o atacante permaneça invisível por semanas ou meses dentro do ambiente corporativo.
Conclusão e medidas de proteção urgentes
A divulgação pública do exploit aumenta exponencialmente os riscos para empresas que ainda não aplicaram as correções. Essa vulnerabilidade SAP já está sendo usada em ataques reais e pode resultar em sequestro de dados, paralisação de operações e prejuízos financeiros incalculáveis.
Ações imediatas recomendadas:
- Aplicar imediatamente os patches oficiais da SAP para as falhas CVE-2025-31324 e CVE-2025-42999.
- Restringir o acesso a aplicações SAP expostas na internet, limitando conexões externas.
- Monitorar ativamente os sistemas em busca de sinais de atividade suspeita ou indicadores de comprometimento.
- Revisar logs e alertas de segurança em busca de indícios de exploração das falhas.
- Treinar equipes de resposta a incidentes para lidar com ataques LotL e detectar anomalias sutis.
Empresas que dependem do SAP para operações críticas não podem se dar ao luxo de adiar essas medidas. Quanto mais tempo os sistemas permanecerem desatualizados, maior será a chance de uma invasão devastadora.
