Ciberseguridad 360 | Vulnerabilidad en SAP está siendo explotada para propagar malware en Linux

Se ha observado que los actores maliciosos han estado explotando una vulnerabilidad cr�tica de SAP NetWeaver, ahora parcheada, para distribuir la puerta trasera Auto-Color en un ataque dirigido a una empresa qu�mica con sede en Estados Unidos en abril de 2025.

"Durante tres d�as, un actor malicioso obtuvo acceso a la red del cliente, intent� descargar varios archivos sospechosos y se comunic� con una infraestructura maliciosa vinculada al malware Auto-Color", afirm� Darktrace en un informe compartido con The Hacker News.

La vulnerabilidad en cuesti�n es CVE-2025-31324, un grave error de carga de archivos no autenticados en SAP NetWeaver que permite la ejecuci�n remota de c�digo (RCE). SAP lo corrigi� en abril.

Auto-Color, documentado por primera vez por Palo Alto Networks Unit 42 a principios de febrero, funciona de forma similar a un troyano de acceso remoto, lo que permite el acceso remoto a hosts Linux comprometidos. Se observ� en ataques dirigidos a universidades y organizaciones gubernamentales de Norteam�rica y Asia entre noviembre y diciembre de 2024.

Se ha descubierto que el malware oculta su comportamiento malicioso en caso de que no pueda conectarse a su servidor de comando y control (C2), lo que indica que los autores de la amenaza buscan evadir la detecci�n dando la impresi�n de que es benigno.

Admite diversas funciones, entre ellas shell inverso, creaci�n y ejecuci�n de archivos, configuraci�n del proxy del sistema, manipulaci�n global de la carga �til, perfilado del sistema e incluso autodesinstalaci�n cuando se activa un interruptor de apagado.

El incidente detectado por Darktrace tuvo lugar el 28 de abril, cuando se alert� de la descarga de un binario ELF sospechoso en una m�quina conectada a Internet que probablemente ejecutaba SAP NetWeaver. Dicho esto, se dice que los primeros indicios de actividad de escaneo se produjeron al menos tres d�as antes.

"En este caso, se aprovech� CVE-2025-31324 para lanzar un ataque de segunda fase, que implicaba el compromiso del dispositivo conectado a Internet y la descarga de un archivo ELF que representaba el malware Auto-Color", afirm� la empresa.

"Desde la intrusi�n inicial hasta el establecimiento fallido de la comunicaci�n C2, el malware Auto-Color demostr� un claro conocimiento de los entresijos de Linux y una moderaci�n calculada dise�ada para minimizar la exposici�n y reducir el riesgo de detecci�n".

Fuente: thehackernews