Negli ultimi giorni è stata scoperta una grave vulnerabilità di sicurezza su SAP NetWeaver, identificata come CVE-2025-31324, che sta venendo sfruttata da gruppi APT collegati alla Cina per attaccare infrastrutture critiche a livello globale. Questa falla permette l’upload di file non autenticato, consentendo ai cybercriminali di eseguire codice da remoto sui sistemi compromessi. Secondo i ricercatori di EclecticIQ, sono almeno 581 le istanze SAP NetWeaver già violate e dotate di web shell, segno di un’ampia campagna di compromissione.

Settori colpiti e modalità di attacco

Tra i settori colpiti ci sono le reti di distribuzione di gas naturale, le utilities di gestione idrica e rifiuti nel Regno Unito, impianti di produzione medicale e aziende dell’oil & gas negli Stati Uniti, oltre a ministeri governativi in Arabia Saudita. L’analisi si basa su directory pubblicamente esposte su server controllati dagli attaccanti, che hanno permesso di tracciare le attività malevole su numerosi sistemi compromessi.

Gruppi coinvolti e prove raccolte

Le attribuzioni degli attacchi vanno a gruppi legati alla Cina come UNC5221, UNC5174 e CL-STA-0048, già noti per colpire entità di alto valore sfruttando vulnerabilità note su server IIS, Apache Tomcat e MS-SQL. Una delle prove chiave è la presenza sul server malevolo di file come “CVE-2025-31324-results.txt”, che elenca le istanze SAP compromesse, e di un altro file con 800 domini SAP NetWeaver potenzialmente destinati a future infiltrazioni.

Tecniche di compromissione e strumenti utilizzati

L’attacco tipico comporta, dopo lo sfruttamento della vulnerabilità, l’installazione di due web shell per mantenere l’accesso remoto e l’esecuzione di comandi arbitrari. Sono stati osservati gruppi cinesi utilizzare questa vulnerabilità per stabilire reverse shell, distribuire malware come KrustyLoader, VShell e GOREVERSE, e condurre attività di ricognizione e persistenza.

Patching e raccomandazioni

SAP ha rilasciato tempestivamente patch per correggere sia la vulnerabilità CVE-2025-31324 sia un ulteriore difetto critico, CVE-2025-42999, relativo a una debolezza di deserializzazione nel componente Visual Composer Metadata Uploader. Quest’ultimo può essere sfruttato da utenti con privilegi specifici per caricare contenuti dannosi.

Si raccomanda vivamente a tutte le aziende che utilizzano SAP NetWeaver di aggiornare immediatamente i sistemi alle versioni più recenti e applicare le security note SAP 3594142 e 3604119 per mitigare qualsiasi rischio residuo. L’azione tempestiva è fondamentale per limitare la possibilità di compromissione, dato che gli attaccanti sono già attivi e sfruttano informazioni pubbliche e strumenti automatici per colpire nuove istanze vulnerabili.