Vulnerabilità SAP NetWeaver utilizzata nell'attacco malware Auto-Color a un'azienda statunitense

Darktrace, azienda leader nella ricerca sulla sicurezza informatica, ha identificato quello che si ritiene essere il primo caso documentato di autori di minacce che sfruttano una vulnerabilità critica di SAP NetWeaver (CVE-2025-31324) per distribuire il malware backdoor elusivo Auto-Color.

Questa falla, divulgata da SAP SE il 24 aprile 2025 e a cui è stato assegnato un punteggio CVSS pari a 10, è particolarmente pericolosa in quanto consente agli aggressori di caricare file dannosi sul server applicativo SAP NetWeaver, con il rischio di esecuzione di codice remoto e compromissione dell'intero sistema.

La backdoor Auto-Color, individuata per la prima volta nel novembre 2024 e precedentemente osservata come bersaglio di sistemi negli Stati Uniti e in Asia, è un Trojan di Accesso Remoto (RAT) chiamato così per la sua capacità di rinominarsi in " /var/log/cross/auto-color " dopo l'esecuzione. Prende di mira principalmente i sistemi Linux, spesso presenti in università e istituzioni governative negli Stati Uniti e in Asia.

Auto-Color è altamente evasivo e sfrutta funzionalità integrate di Linux come ld.so.preload per compromettere in modo persistente il sistema. Ogni istanza è unica a causa delle configurazioni di comando e controllo (C2) compilate staticamente e crittografate. Una nuova scoperta chiave riguarda la tattica di soppressione del malware: può "fingere di essere inattivo" in caso di interruzione delle connessioni C2, apparendo innocuo agli analisti e nascondendo le sue piene capacità durante l'analisi.

Questa ricerca cruciale è stata condivisa con Hackread.com prima della sua pubblicazione martedì, secondo la quale nell'aprile 2025, il Darktrace Security Operations Centre (SOC) ha identificato un attacco Auto-Color in più fasi sulla rete di un'azienda chimica con sede negli Stati Uniti.

Secondo i ricercatori, la scansione iniziale per CVE-2025-31324 è stata osservata a partire dal 25 aprile. Lo sfruttamento attivo è iniziato il 27 aprile, con una connessione in entrata dall'IP 91.193.19.109 e il download di un file ZIP che segnalava l'exploit.

Il dispositivo compromesso ha immediatamente effettuato richieste DNS sospette per i domini Out-of-Band Application Security Testing (OAST) il 27 e 28 aprile, una tattica per testare le vulnerabilità o effettuare il tunneling dei dati.

Circa dieci ore dopo, il 27 aprile, è stato scaricato uno script shell (config.sh). Il dispositivo ha quindi stabilito connessioni a 47.97.42.177, un endpoint collegato a Supershell, una piattaforma C2. Meno di 12 ore dopo, il 28 aprile, il file malware ELF di Auto-Color è stato scaricato da 146.70.41.178. L'indagine di Darktrace ha confermato che si è trattato del primo abbinamento osservato tra exploit SAP NetWeaver e malware Auto-Color.

La funzionalità di risposta autonoma basata sull'intelligenza artificiale di Darktrace è intervenuta rapidamente, applicando un "pattern of life" al dispositivo interessato per 30 minuti, a partire dal 28 aprile. Ciò ha impedito ulteriori azioni dannose, consentendo al contempo la normale operatività aziendale. Sono stati attivati diversi avvisi, che hanno spinto il servizio Managed Detection and Response (MDR) di Darktrace a indagare.

Gli analisti hanno esteso le azioni di risposta autonoma per altre 24 ore, dando al team di sicurezza del cliente tempo fondamentale per le indagini e la risoluzione del problema.

Questo incidente evidenzia che, nonostante le rivelazioni urgenti, vulnerabilità come CVE-2025-31324 continuano a essere sfruttate attivamente, dando origine a minacce più persistenti. La tempestiva rilevazione e la risposta autonoma di Darktrace hanno garantito il contenimento della minaccia, prevenendone l'escalation e dimostrando la potenza dell'intelligenza artificiale nel contrastare attacchi sofisticati e multifase.

Poiché la vulnerabilità CVE-2025-31324 continua a essere sfruttata attivamente nonostante la divulgazione, le organizzazioni dovrebbero adottare misure immediate, ha affermato Mayuresh Dani , Security Research Manager presso la Qualys Threat Research Unit.

"Applicare immediatamente la patch ai sistemi SAP NetWeaver contro CVE-2025-31324, ma se per qualche motivo non è possibile installare la patch, è necessario smettere immediatamente di esporre queste installazioni SAP NetWeaver su Internet, isolarle e bloccare l'endpoint /developmentserver/metadatauploader e implementare anche un'architettura zero-trust che presuppone la violazione e verifica ogni transazione di rete prima della trasmissione", ha sottolineato Mayuresh.