A falha de segurança do SAP NetWeaver ainda está sendo explorada

• Uma falha crítica no SAP NetWeaver ainda está sendo explorada meses após a aplicação de patches.
• Pesquisadores descobriram que ela era usada para implantar o recurso Auto-Color.
• Essa porta dos fundos permanece inativa quando não está em uso.

Uma vulnerabilidade no SAP NetWeaver está sendo explorada para implantar malware para Linux capaz de executar comandos arbitrários no sistema e instalar payloads adicionais, alertaram especialistas.

Pesquisadores de segurança da Unit 42, da Palo Alto Networks, descobriram um malware chamado Auto-Color, um backdoor para Linux, apelidado assim por sua capacidade de renomear a si mesmo após a instalação.

Os pesquisadores descobriram que ele era capaz de abrir shells reversos, executar comandos arbitrários no sistema, atuar como um proxy, fazer upload e modificar arquivos, além de ajustar configurações dinamicamente. Também foi descoberto que o backdoor permanece praticamente inativo se o servidor de comando e controle (C2) estiver inacessível, evitando a detecção ao permanecer inativo até que as instruções do operador cheguem.

Salt Typhoon

No entanto, os pesquisadores não conseguiram determinar o vetor de infecção inicial — como o malware chegou aos endpoints de destino permaneceu um mistério — até agora.

Em resposta a um incidente em abril de 2025, especialistas em cibersegurança da Darktrace investigaram uma infecção pelo Auto-Color em uma empresa química com sede nos EUA. Eles conseguiram determinar que o vetor de infecção inicial era uma vulnerabilidade crítica no SAP NetWeaver, uma plataforma tecnológica que serve como base técnica para muitos aplicativos SAP.

A vulnerabilidade foi encontrada no elemento Visual Composer Metadata Uploader da plataforma, que não estava protegido com a devida autorização. Como resultado, agentes não autenticados podiam fazer upload de binários executáveis ​​potencialmente maliciosos que poderiam causar danos graves. Ela é rastreada como CVE-2025-31324 e recebeu uma pontuação de gravidade de 9,8/10 — crítica.

A SAP corrigiu o problema no final de abril de 2025, mas, na época, várias empresas de segurança já estavam observando ataques em andamento. ReliaQuest, Onapsis, watchTowr e Mandiant relataram ter observado agentes de ameaças explorando essa falha, incluindo grupos patrocinados pelo Estado chinês.

Dado o potencial destrutivo da falha e o fato de que uma correção já está disponível há meses, recomenda-se que os administradores de Linux a apliquem sem hesitação para mitigar as possíveis ameaças.