Uma nova falha crítica no SAP NetWeaver está sendo explorada por cibercriminosos para instalar web shells JSP e executar códigos maliciosos remotamente. Segundo a ReliaQuest, os invasores se aproveitam do endpoint “/developmentserver/metadatauploader” para enviar arquivos JSP maliciosos ao caminho “servlet_jsp/irj/root/”, ganhando controle persistente dos sistemas afetados. A vulnerabilidade, agora catalogada como CVE-2025-31324, permite o envio irrestrito de arquivos sem autenticação, o que pode comprometer gravemente o sistema. 

A falha foi inicialmente interpretada como um problema de inclusão remota de arquivos (RFI), mas a SAP confirmou que se trata de uma falha de upload não autorizado. Mesmo sistemas atualizados estavam vulneráveis, o que indica tratar-se de uma falha zero-day até então desconhecida. Em alguns casos, os invasores levaram dias entre o acesso inicial e ações subsequentes, sugerindo a atuação de brokers de acesso inicial (IABs) que vendem esse acesso a outros grupos criminosos.

A ReliaQuest identificou ainda o uso do framework pós-exploração Brute Ratel C4 e da técnica “Heaven’s Gate” para driblar defesas. Esses ataques são especialmente preocupantes por afetarem soluções SAP, frequentemente utilizadas por governos e grandes empresas, cujas implementações on-premises dependem da aplicação manual de patches de segurança. Coincidentemente, a SAP lançou recentemente um patch para o CVE-2025-31324, com pontuação máxima de gravidade (10.0 no CVSS), reforçando a urgência da atualização.