Alerta de Seguridad Cibernética
Número: AL25-006
Fecha: 21 de mayo de 2025
Audiencia
Dirigido a profesionales de TI y gerentes en organizaciones notificadas.
Objetivo
La alerta busca concienciar sobre una amenaza cibernética emergente que afecta los activos de información y ofrecer directrices sobre su detección y mitigación. El Centro Canadiense de Seguridad Cibernética ofrece apoyo adicional conforme se requiera.
Detalles de la Amenaza
El 24 de abril de 2025, SAP emitió una actualización de emergencia para una vulnerabilidad crítica clasificada como CVE-2025-31324 en SAP Netweaver (Visual Composer Development Server), versión VCFramework 7.50. Esta vulnerabilidad permite que un atacante no autenticado cargue archivos arbitrarios al sistema afectado.
Posteriormente, el 13 de mayo de 2025, SAP anunció otra vulnerabilidad crítica, CVE-2025-42999. Este parche elimina el riesgo residual de la CVE anterior, CVE-2025-31324. El 15 de mayo de 2025, la CISA incluyó ambas vulnerabilidades en su catálogo de vulnerabilidades explotadas (KEV).
El Cyber Center ha registrado informes de que la CVE-2025-31324 ha estado siendo explotada activamente desde marzo de 2025.
Indicadores de Compromiso (COI)
Se han encontrado varios COI relacionados con la explotación de CVE-2025-31324, incluyendo informes de análisis de Onapsis y Mandiant. Algunos indicadores Originan de actores estatales, específicamente de China, que están atacando la infraestructura crítica utilizando esta vulnerabilidad.
Acciones Sugeridas
Se recomienda a las organizaciones que utilizan SAP Netweaver que sigan las Notas de seguridad de SAP 3594142 y 3604119, aplicando las actualizaciones y mitigaciones necesarias:
-
Control de Acceso: Restringir el acceso al endpoint /Developmentserver/MetadataUploader a través de políticas de firewall o un despachador web de SAP, bloqueando accesos no autenticados y limitando el acceso interno a administradores autorizados.
-
Investigaciones: Realizar investigaciones exhaustivas en sistemas SAP que puedan estar expuestos y vulnerables, buscando COI conocidos. Considerar que los actores de amenaza podrían haber realizado actividades posteriores a la explotación (LOTL) sin desplegar redes web.
- Detección de COI: Los indicativos proporcionados son para aumentar la conciencia situacional y pueden involucrar software legítimo; su detección no implica necesariamente un compromiso. Se recomienda usarlos en un contexto de análisis de amenazas, forense o investigación, especialmente si hay evidencia de actividad relacionada.
Recomendaciones Generales
Adicionalmente, se aconseja a las organizaciones revisar e implementar las 10 acciones principales de seguridad de TI recomendadas por el Cyber Center.
En caso de identificar actividades que se alineen con este contenido, se anima a los destinatarios a reportar a través del portal cibernético o mediante el correo electrónico contact@cyber.gc.ca para la evaluación y respuesta adecuadas.
Referencias
Numerosas notas al pie brindan información sobre el Día del Parche de Seguridad de SAP, detalles sobre vulnerabilidades específicas y las acciones de seguridad recomendadas.
Esta alerta resalta la importancia de la vigilancia y la actualización continua en el ámbito de la seguridad cibernética, especialmente frente a vulnerabilidades críticas que pueden comprometer la infraestructura organizacional. Las medidas proactivas son esenciales para salvaguardar la integridad y disponibilidad de los sistemas de información.