Los piratas informáticos golpean el error de seguridad de SAP para enviar malware Nasty Linux
- Todavía se está abusando de un defecto crítico en SAP Netweaver, meses después de parchear
- Los investigadores lo vieron solía implementar el color automático
- Esta puerta trasera permanece latente cuando no está en uso
Se está explotando una vulnerabilidad en SAP Netweaver para implementar Linux malware Capaz de ejecutar comandos arbitrarios del sistema e implementar cargas útiles adicionales, han advertido los expertos.
Investigadores de seguridad de la Unidad 42 de Palo Alto Networks descubrieron una pieza de malware llamada Auto-Color, A Linux Backdoor, doblada por su capacidad de cambiarse de nombre después de la instalación.
Los investigadores descubrieron que era capaz de abrir conchas inversas, ejecutar comandos de sistema arbitrarios, actuando como un proxy, cargar y modificar archivos, así como ajustar la configuración dinámicamente. También se descubrió que la puerta trasera permanece principalmente inactiva si su servidor C2 no es posible, evade efectivamente la detección al permanecer inactivo hasta que lleguen las instrucciones del operador.
Tifón de sal
Sin embargo, los investigadores no pudieron determinar el vector de infección inicial, cómo el malware llegó a los puntos finales de destino seguía siendo un misterio, hasta ahora.
En respuesta a un incidente en abril de 2025, los expertos en ciberseguridad de Darktrace investigaron una infección de color automático en una compañía de productos químicos con sede en los Estados Unidos. Pudieron determinar que el vector de infección inicial era una vulnerabilidad crítica en SAP Netweaver, una plataforma tecnológica desarrollada que sirve como base técnica para muchas aplicaciones SAP.
La vulnerabilidad se encontró en el elemento de cargador de metadatos del compositor visual de la plataforma, que no estaba protegido con una autorización adecuada. Como resultado, a los agentes no autenticados se les permitió subir binarios ejecutables potencialmente maliciosos que podrían causar daños graves. Se rastrean como CVE-2025-31324, y se le dio una puntuación de gravedad de 9.8/10, crítico.
SAP solucionó el problema a fines de abril de 2025, pero en ese momento, múltiples firmas de seguridad ya estaban viendo ataques en la naturaleza. Reliaquest, Onapsis, WatchToWr, Mandiant, todos informaron que observaron a los actores de amenazas que aprovechan este defecto, y entre ellos, también grupos patrocinados por el estado chino.
Dado el potencial destructivo de la falla, y el hecho de que hay un parche disponible durante meses, se aconseja a los administradores de Linux que lo apliquen sin dudarlo y mitigan las posibles amenazas.
A través de Computadora Bleeping
