Actualidad desde nuestro Centro Experto de Ciberseguridad
Contacta con nosotros a través de infocyber@minsait.com
Compartir en:
Te traemos las últimas noticias y alertas detectadas de Ciberseguridad
Ciberseguridad
El ministerio de Asuntos Exteriores francés culpa al grupo ruso APT28 de atacar a una docena de entidades en los últimos cuatro años
Campaña de correos phishing del nuevo actor TA2900 se dirige a usuarios franceses y canadienses para robar datos bancarios
Vulnerabilidades
Vulnerabilidades en el protocolo y SDK de Apple AirPlay exponen dispositivos sin parches a múltiples tipos de ataques
Cibercriminales explotan activamente vulnerabilidades de inyección de código Broadcom y Commvault (CVE-2025-1976 y CVE-2025-3928)
Malware
Campaña de phishing por correo explota la vulnerabilidad en el editor de ecuaciones de MS (CVE-2017-11882) para distribuir el infostealer XLoader
Nueva campaña de ransomware despliega LockBit a través del botnet Phorpiex que lo entrega y ejecuta automáticamente
Últimas amenazas detectadas
SAP corrige una vulnerabilidad de máxima criticidad en NetWeaver (CVE-2025-31324)
05/05/2025
Resumen ejecutivo
El fabricante parchea una vulnerabilidad RCE en NetWeaver Visual Composer que permite la subida y ejecución de archivos maliciosos sin autenticación previa.
Datos
Tipo:
TLP:
Objetivos:
Activos afectados:
Vector de ataque:
Tags:
Hacking
White
SAP NetWeaver Visual Composer
SAP
Vulnerabilidad
0-day, CVE-2025-31324, NetWeaver Visual Composer NetWeaver, SAP
Descripción
SAP libera actualizaciones de seguridad para corregir una vulnerabilidad de ejecución remota de código, identificada como CVE-2025-31324, con gravedad máxima (CVSS 10.0) en NetWeaver Visual Composer, la cual está siendo explotada activamente por cibercriminales.
Dicha vulnerabilidad afecta concretamente al endpoint developmentserver/metadatauploader del entorno NetWeaver, el cual habilita a ciberatacantes desconocidos cargar webshell maliciosas basadas en JSP en la ruta servlet_jsp/irj/root/ para el acceso remoto persistente y entregar payloads adicionales. Al tratarse de un directorio públicamente accesible, para manejar peticiones web que implican JSPs y servlets, múltiples clientes se encuentran comprometidos.
Esta explotación podría estar enlazada con un exploit conocido en NetWeaver (CVE-2017-12637) en donde los actores de amenazas están aprovechando y combinando con una mezcla de técnicas para maximizar su impacto.
Recomendaciones
Protección
- Mantener el sistema actualizado con los últimos parches de seguridad, tanto para el sistema operativo como para todo el software que se tenga instalado.
- No descargar software ilegal o no autorizado por las políticas de seguridad, ya que podría contener malware.
- Restringir el uso de redes P2P.
- Evitar el usuario “Administrador” para el uso general del sistema y del software instalado.
- Prestar atención cuando se navega por Internet y evitar descargar archivos de origen dudoso o que ofrecen soluciones de seguridad falsas.
- Se recomienda utilizar bloqueadores de Javascript en los navegadores para evitar la ejecución de scripts que puedan suponer un daño para nuestro equipo.
- Mostrar las extensiones para tipos de fichero conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de fichero.
- Aplicar los parches facilitados por el fabricante
Detección
- Disponer de un EDR con capacidad proactiva de detección y mantenerlo siempre actualizado.
- Analizar la red con los IoC incluidos en la presente amenaza
Mitigación
- N/A
Referencias
hxxps://support[.]sap[.]com/en/my-support/knowledge-base/security-notesnews/april-2025[.]html
Minsait Cyber
Impulsa la transformación de los negocios y la sociedad mediante soluciones y servicios innovadores, poniendo a las personas en el centro.
Indra es una de las principales compañías globales de tecnología y consultoría: el socio tecnológico para las operaciones clave de los negocios de clientes en todo el mundo.