Negli ultimi mesi, la sicurezza informatica delle aziende che utilizzano piattaforme SAP è stata messa alla prova da un’ondata di attacchi mirati basati su una grave vulnerabilità di SAP NetWeaver, identificata come CVE-2025-31324. Questa falla, scoperta e corretta da SAP ad aprile 2025, consentiva il caricamento non autenticato di file malevoli e l’esecuzione di codice remoto, aprendo la porta a intrusioni particolarmente pericolose nei sistemi Linux aziendali.

Un caso emblematico: attacco a una società chimica

Un caso emblematico riguarda un attacco subito da una società chimica statunitense, nel quale i cybercriminali hanno sfruttato proprio questa vulnerabilità per distribuire Auto-Color, un sofisticato malware di tipo backdoor. Secondo un report di settore, in soli tre giorni gli attaccanti hanno ottenuto accesso alla rete aziendale, tentato di scaricare diversi file sospetti e comunicato con infrastrutture malevole collegate ad Auto-Color. Questo malware era già stato osservato in precedenza in campagne contro università e enti governativi in Nord America e Asia tra novembre e dicembre 2024.

Funzionalità e tecniche di Auto-Color

Auto-Color si comporta come un classico remote access trojan, offrendo agli attaccanti pieno controllo del sistema Linux compromesso. Tra le sue funzionalità spiccano:

• Aprire una shell inversa
• Creare ed eseguire file
• Configurare proxy di sistema
• Manipolare i payload su scala globale
• Profilare il sistema
• Autodistruggersi tramite comando di kill switch

Un elemento particolarmente insidioso di Auto-Color è la sua capacità di nascondere le attività malevole qualora non riesca a collegarsi al server di comando e controllo, simulando così un comportamento innocuo e sfuggendo ai controlli di sicurezza.

Sfruttamento della vulnerabilità e raccomandazioni

L’episodio analizzato mostra come l’exploit CVE-2025-31324 sia stato usato per eseguire un attacco in due fasi: prima la compromissione del dispositivo SAP esposto su internet, poi il download di un file ELF contenente il malware Auto-Color. L’azione del malware ha dimostrato una profonda conoscenza degli ambienti Linux, procedendo con cautela per minimizzare l’esposizione e ridurre il rischio di essere scoperti durante la fase di comunicazione con il server di controllo.

Questo scenario sottolinea l’importanza di aggiornare tempestivamente SAP NetWeaver e di monitorare tutti i sistemi Linux potenzialmente esposti, adottando strategie di threat intelligence e strumenti di rilevamento avanzati per individuare comportamenti anomali e bloccare tempestivamente minacce come Auto-Color.