Una nuova minaccia informatica si sta diffondendo contro i sistemi SAP NetWeaver a causa della pubblicazione di un exploit che sfrutta due pericolose vulnerabilità ora corrette ma non ancora risolte su tutte le installazioni. L’exploit combina le falle CVE-2025-31324 e CVE-2025-42999, consentendo a un attaccante remoto non autenticato di eseguire codice arbitrario, prendere il controllo completo del sistema e accedere ai dati aziendali critici gestiti da SAP.

Dettagli delle vulnerabilità

La prima vulnerabilità, CVE-2025-31324, presenta un punteggio CVSS di 10 e riguarda un controllo di autorizzazione mancante nel server di sviluppo Visual Composer di SAP NetWeaver. La seconda, CVE-2025-42999, con CVSS 9.1, sfrutta una deserializzazione insicura nello stesso componente. Queste falle sono state corrette da SAP nei mesi di aprile e maggio 2025, ma sono già state sfruttate attivamente come zero-day da parte di gruppi ransomware e agenti di spionaggio, come Qilin, BianLian, RansomExx e alcuni gruppi legati alla Cina.

L’attacco in due fasi

L’attacco avviene in due fasi: prima si sfrutta la vulnerabilità per aggirare l’autenticazione e caricare un payload malevolo; successivamente, tramite la deserializzazione insicura, viene eseguito con privilegi amministrativi sul sistema SAP. Questo permette non solo di installare web shell per il controllo remoto, ma anche di lanciare comandi nativi del sistema operativo senza dover lasciare ulteriori tracce, sfruttando tecniche di living-off-the-land (LotL).

Rischi e vettori di attacco

La pericolosità dell’exploit è accresciuta dal fatto che la componente di deserializzazione può essere riutilizzata anche contro altre vulnerabilità simili recentemente corrette da SAP, tra cui CVE-2025-30012, CVE-2025-42963, CVE-2025-42964, CVE-2025-42966 e CVE-2025-42980. La pubblicazione del codice exploit da parte di una coalizione criminale chiamata Scattered Lapsus Hunters, composta da Scattered Spider e ShinyHunters, aumenta il rischio di nuove ondate di attacchi contro infrastrutture critiche.

Raccomandazioni degli esperti

Gli esperti consigliano con urgenza a tutti gli amministratori SAP di applicare subito le patch rilasciate, limitare l’accesso ai sistemi SAP dalle reti pubbliche e monitorare costantemente i log per individuare eventuali compromissioni. Solo una reazione tempestiva può evitare danni gravi come la perdita di dati sensibili, l’interruzione dei processi aziendali e il ricatto tramite ransomware.