# CVE-2025-43529 > [!critical] Authentication Bypass Crítico no SAP NetWeaver - CVSS 9.1 > Bypass de autenticação crítico no SAP NetWeaver Application Server permite que atacantes remotos não autenticados acessem funções administrativas protegidas. Com CVSS 9.1, representa risco severo para organizações que dependem do SAP como ERP core — especialmente sensível em ambientes financeiros e de manufatura LATAM. ## Visão Geral [[cve-2025-43529|CVE-2025-43529]] é uma vulnerabilidade crítica de bypass de autenticação no SAP NetWeaver Application Server, o núcleo da plataforma SAP ERP utilizada por milhares de grandes organizações globalmente. A falha permite que um atacante remoto, sem qualquer credencial, acesse funcionalidades que deveriam exigir autenticação de alto privilégio, podendo resultar em exfiltração de dados financeiros, modificação de transações e execução de código no servidor de aplicação. O grupo [[unc6353|UNC6353]], rastreado pela Mandiant como um cluster de atividade associado a operações de espionagem e crime financeiro, foi identificado explorando vulnerabilidades SAP NetWeaver como parte de campanhas de comprometimento de supply chain em ambientes enterprise. O SAP é o ERP dominante em grandes corporações brasileiras, especialmente em manufatura, banco, varejo e agronegócio. A gravidade dessa vulnerabilidade reside na criticidade dos sistemas SAP: um comprometimento bem-sucedido dá ao atacante acesso a dados financeiros, folhas de pagamento, processos de procurement, inventário e práticamente toda a operação de negócios da empresa vítima. > [!latam] Relevância LATAM > O SAP é extensamente utilizado por grandes corporações brasileiras em manufatura, setor financeiro, agronegócio e varejo. Organizações com SAP NetWeaver exposto - diretamente ou via SAP Web Dispatcher - são alvos prioritários. Aplicar o patch de abril 2025 imediatamente é crítico. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Authentication Bypass (CWE-287) | | Componente | SAP NetWeaver Application Server | | CVSS | 9.1 CRITICAL | | Autenticação requerida | Não | | Impacto | Acesso total a funções administrativas SAP | ## TTPs Associadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração de aplicação SAP exposta - [[t1078-valid-accounts|T1078]] - Bypass de autenticação equivale a contas válidas - [[t1213-data-from-information-repositories|T1213]] - Dados de repositórios de informação (ERP) - [[t1530-data-from-cloud-storage|T1530]] - Acesso a dados corporativos armazenados ## Detecção e Defesa **Mitigação primária:** Aplicar SAP Security Note 3594142 (patch de abril 2025) imediatamente. **Medidas emergênciais:** - Verificar exposição do SAP NetWeaver na internet via SAP Web Dispatcher - Auditar logs de autenticação SAP para acessos anômalos desde março 2025 - Habilitar SAP Enterprise Threat Detection (ETD) se disponível **Mitigações adicionais:** - [[m1030-network-segmentation|M1030]] - SAP nunca deve ser exposto diretamente à internet - [[m1026-privileged-account-management|M1026]] - Revisar contas SAP_ADM e DDIC - [[m1051-update-software|M1051]] - Patch crítico SAP de abril 2025 ## Referências - [SAP Security Note 3594142](https://launchpad.support.sap.com) - [Mandiant - UNC6353 tracking](https://www.mandiant.com/resources/blog) - [Onapsis - SAP vulnerability research](https://onapsis.com/blog)