# CVE-2025-31324 > [!critical] RCE Zero-Day no SAP NetWeaver - CVSS 10.0 - Explorado pelo Qilin > Vulnerabilidade crítica máxima (CVSS 10.0) de execução remota de código sem autenticação no SAP NetWeaver via upload de arquivo arbitrário no componente Visual Composer, explorada pelo ransomware Qilin em ataques a organizações corporativas. ## Visão Geral A [[cve-2025-31324|CVE-2025-31324]] é uma vulnerabilidade com **CVSS máximo de 10.0** no **SAP NetWeaver Application Server Java**, específicamente no componente Visual Composer. A falha permite upload e execução de arquivos arbitrários (web shells) sem qualquer autenticação, resultando em comprometimento completo do servidor SAP. O SAP NetWeaver é a espinha dorsal de sistemas ERP da SAP, rodando em milhares de grandes organizações globalmente incluindo as maiores empresas do Fortune 500. Comprometer um servidor SAP NetWeaver pode dar ao atacante acesso a dados financeiros, de RH, operacionais e de supply chain de toda a organização. O grupo de ransomware [[qilin|Qilin]] foi documentado explorando esta vulnerabilidade como vetor de acesso inicial, seguido de exfiltração de dados ERP e criptografia de sistemas. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Upload de arquivo arbitrário - RCE sem autenticação | | Componente | SAP NetWeaver AS Java - Visual Composer (vc/invoke) | | Vetor | Rede - sem autenticação | | CVSS | 10.0 - máximo possível | | Exploração | Ativa como zero-day antes do patch | | Web shell | Upload para diretórios acessíveis via web | ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploração do SAP NetWeaver exposto | | [[t1505-003-web-shell\|T1505.003]] | Upload de web shell via Visual Composer | | [[t1486-data-encrypted-for-impact\|T1486]] | Ransomware Qilin pós-comprometimento ERP | | [[t1048-exfiltration-over-alternative-protocol\|T1048]] | Exfiltração de dados SAP antes da criptografia | | [[t1078-valid-accounts\|T1078]] | Criação de contas SAP backdoor pós-exploração | ## Detecção e Defesa **Mitigações:** - Aplicar SAP Security Note 3594142 imediatamente (patch emergêncial) - [[m1051-update-software\|M1051]] - Tratamento como CRÍTICO - patch imediato - Desabilitar o serviço Visual Composer se não utilizado - [[m1042-disable-or-remove-feature-or-program\|M1042]] - Desabilitar endpoint `/vc/invoke` via ACL ou WAF - Auditar sistemas SAP para presença de web shells em diretórios JSP - [[m1030-network-segmentation\|M1030]] - SAP NetWeaver nunca deve ser exposto diretamente à internet > [!latam] Relevância para Brasil e LATAM > O SAP é o sistema ERP dominante entre as grandes corporações brasileiras - bancos, mineradoras, petroquímicas, varejistas e fabricantes. Esta vulnerabilidade CVSS 10.0 representa uma das ameaças mais críticas a infraestruturas corporativas no Brasil. Organizações brasileiras com SAP NetWeaver devem tratar esta CVE como emergência máxima, aplicando o patch imediatamente e auditando os sistemas para presença de web shells ou contas backdoor criadas durante o período de exposição. ## Referências - [SAP Security Note 3594142](https://launchpad.support.sap.com/#/notes/3594142) - [NVD - CVE-2025-31324](https://nvd.nist.gov/vuln/detail/CVE-2025-31324) - [Mandiant - SAP NetWeaver Zero-Day](https://www.mandiant.com/resources/blog/sap-netweaver-zero-day)