Vulnerabilidad de SAP NetWeaver utilizada en ataque de malware de color automático contra empresa estadounidense

Darktrace, una empresa líder en investigación de ciberseguridad, ha identificado lo que se cree que es el primer caso documentado de actores de amenazas que explotan una vulnerabilidad crítica de SAP NetWeaver (CVE-2025-31324) para implementar el evasivo malware de puerta trasera Auto-Color.

Esta falla, revelada por SAP SE el 24 de abril de 2025 y a la que se le asignó un puntaje CVSS de 10, es particularmente peligrosa ya que permite a los atacantes cargar archivos maliciosos al servidor de aplicaciones SAP NetWeaver, lo que podría provocar la ejecución remota de código y el compromiso total del sistema.

La puerta trasera Auto-Color, detectada por primera vez en noviembre de 2024 y previamente observada atacando sistemas en EE. UU. y Asia, es un troyano de acceso remoto (RAT) llamado así por su capacidad de cambiar su nombre a " /var/log/cross/auto-color " tras su ejecución. Se dirige principalmente a sistemas Linux, presentes a menudo en universidades e instituciones gubernamentales de EE. UU. y Asia.

Auto-Color es altamente evasivo y aprovecha funciones integradas de Linux, como ld.so.preload, para comprometer persistentemente el sistema. Cada instancia es única gracias a las configuraciones de comando y control (C2) compiladas y cifradas estáticamente. Un nuevo hallazgo clave es la táctica de supresión del malware: puede simular estar en estado de suspensión si fallan las conexiones C2, aparentando ser benigno para los analistas y ocultando todas sus capacidades durante el análisis.

Esta investigación crucial fue compartida con Hackread.com antes de su publicación el martes, según la cual, en abril de 2025, el Centro de Operaciones de Seguridad (SOC) de Darktrace identificó un ataque Auto-Color de múltiples etapas en la red de una empresa química con sede en EE. UU.

Según los investigadores, el escaneo inicial de CVE-2025-31324 se observó a partir del 25 de abril. La explotación activa comenzó el 27 de abril, con una conexión entrante desde la IP 91.193.19.109 y una descarga de archivo ZIP que indicaba la explotación.

El dispositivo comprometido realizó inmediatamente solicitudes DNS sospechosas para dominios de pruebas de seguridad de aplicaciones fuera de banda (OAST) el 27 y 28 de abril, una táctica para probar vulnerabilidades o tunelizar datos.

Aproximadamente diez horas después, el 27 de abril, se descargó un script de shell (config.sh). El dispositivo se conectó a 47.97.42.177, un endpoint vinculado a Supershell, una plataforma C2. Menos de 12 horas después, el 28 de abril, se descargó el archivo de malware Auto-Color ELF desde 146.70.41.178. La investigación de Darktrace confirmó que esta era la primera vez que se observaba una asociación entre la explotación de SAP NetWeaver y el malware Auto-Color.

La capacidad de Respuesta Autónoma basada en IA de Darktrace intervino rápidamente, implementando un patrón de vida en el dispositivo afectado durante 30 minutos, a partir del 28 de abril. Esto evitó nuevas acciones maliciosas y permitió el funcionamiento normal del negocio. Se activaron múltiples alertas, lo que motivó la investigación por parte del servicio de Detección y Respuesta Gestionadas (MDR) de Darktrace.

Los analistas extendieron las acciones de Respuesta Autónoma por 24 horas adicionales, lo que le dio al equipo de seguridad del cliente tiempo crucial para la investigación y la remediación.

Este incidente pone de manifiesto que, a pesar de las divulgaciones urgentes, vulnerabilidades como CVE-2025-31324 siguen explotándose activamente, lo que genera amenazas más persistentes. La detección oportuna y la respuesta autónoma de Darktrace garantizaron la contención de la amenaza, evitando su escalada y demostrando el poder de la IA para frustrar ataques sofisticados de múltiples etapas.

Dado que CVE-2025-31324 sigue siendo explotado activamente a pesar de la divulgación, las organizaciones deben tomar medidas inmediatas, dijo Mayuresh Dani , Gerente de Investigación de Seguridad de la Unidad de Investigación de Amenazas de Qualys.

“Se debe aplicar inmediatamente un parche a los sistemas SAP NetWeaver contra CVE-2025-31324, pero si por alguna razón no pueden instalar el parche, deben dejar de exponer estas instalaciones de SAP NetWeaver en internet, aislarlas y bloquear el punto final /developmentserver/metadatauploader , e implementar una arquitectura de confianza cero que asuma la infracción y verifique cada transacción de red antes de su transmisión”, enfatizó Mayuresh.