Uma vulnerabilidade crítica no SAP NetWeaver, identificada como CVE-2025-31324, está a ser ativamente explorada por hackers para instalar o malware "Auto-Color" em sistemas Linux. O mais recente alvo foi uma empresa de produtos químicos nos EUA, num ataque que revelou novas e avançadas táticas de evasão por parte deste software malicioso.
O ataque e a descoberta
A empresa de cibersegurança Darktrace detetou o ataque durante uma resposta a um incidente em abril de 2025. A investigação revelou que, embora o ataque tenha começado a 25 de abril, a exploração ativa e a instalação de um ficheiro executável ELF (o formato para Linux) ocorreram dois dias depois, comprometendo a máquina visada.
Este incidente permitiu à Darktrace descobrir o vetor de infeção inicial do malware, algo que tinha escapado a análises anteriores, ligando-o diretamente à exploração da falha no software da SAP.
Auto-Color, um malware que sabe esconder-se
O malware Auto-Color não é totalmente novo. Foi documentado pela primeira vez em fevereiro de 2025 pela Unidade 42 da Palo Alto Networks, que já na altura destacava a sua natureza evasiva e a dificuldade em removê-lo de um sistema após a infeção.
As suas capacidades são vastas e perigosas:
Execução de comandos arbitrários no sistema infetado.
Modificação de ficheiros.
Criação de uma shell reversa para acesso remoto total.
Encaminhamento de tráfego (proxy).
Atualização dinâmica da sua própria configuração.
Um módulo de rootkit que esconde as suas atividades maliciosas das ferramentas de segurança.
A mais recente versão, analisada pela Darktrace, inclui uma nova tática de evasão: se o malware não consegue contactar o seu servidor de Comando e Controlo (C2), simplesmente suspende a maior parte do seu comportamento malicioso. Desta forma, em ambientes controlados para análise (sandboxes) ou sistemas isolados da rede, o Auto-Color parece benigno, dificultando a sua engenharia reversa e a descoberta das suas verdadeiras capacidades.
Uma vulnerabilidade crítica e a corrida para a explorar
A falha explorada, CVE-2025-31324, é crítica porque permite que um atacante não autenticado carregue ficheiros maliciosos para um sistema vulnerável, levando à execução remota de código (RCE).
A SAP corrigiu a vulnerabilidade em abril de 2025, mas a corrida para a explorar começou quase de imediato. Empresas de segurança como a ReliaQuest, Onapsis e watchTowr reportaram tentativas de exploração ativas poucos dias após a divulgação. Em maio, tanto grupos de ransomware como hackers associados ao estado chinês já estavam a tirar partido da falha. A Mandiant, por sua vez, reportou ter encontrado provas de que esta vulnerabilidade já estaria a ser explorada como um "zero-day" desde, pelo menos, meados de março de 2025.
Ação imediata é fundamental
Com a confirmação de que o malware Auto-Color está a explorar ativamente esta vulnerabilidade, a recomendação é clara. Os administradores de sistemas que utilizam SAP NetWeaver devem aplicar as atualizações de segurança ou as mitigações fornecidas pela SAP o mais rapidamente possível. As informações detalhadas estão disponíveis no boletim de segurança da SAP, acessível apenas a clientes, através da nota 3594142.
Nenhum comentário
Seja o primeiro!