Eine Schwachstelle dans SAPS Netweaver Erlaubt Remote-Code-Ausführung und Eine Vollständige KOMPROMITTIERUNG der TaTroffennen Systeme. Da Die Lücke Bereits AUSGEUTZT WIRD, Sollten Anwender Schnell Patches Installieren.
Angreifer Nutzen Seit Dem 21. avril 2025 Eine Kritische Zero-Day-Schwachstelle dans DER Visual Composer-Komponente Des Sap Netweaver Application Server Aus. SAP HAT Bereits Einen Out-of-Fix Veröffentlicht, der über Das Support-Portal Verfügbar ist Und Laut Lautherstller Sofort Angewendet Werden Sollte, InsbeSondere Auf Systemen, Die Direkt Mit Dem Internet Verbunden Sind.
Die schwachstelle mit der Bezeichnung CVE-2025-31324 wurde auf der cvss-skala mit démam maximalen schweregrad von 10 bewertet. Kunden Sollten Den Fix im Sap Sicherheitshinweis 3594142 (Authentifilizierung erforderlich) anwenden. Wenn décède Nicht Sofort Möglich Sei, Sollten Anwender den Zugriff auf die Verwundbare Komponnte deaktivieren Oder Verhindern, Indem Sie die anweisungen im Sap Hinweis 3596125 Befolgen, donc Die Forscher des Auf Sapission SPEZILIRIST Avis.
Broker d’accès initial Setzt UNSECHERE WEB Shells Ein
Die angriffe auf CVE-2025-31324 Wurden Am 22. avril 2025 von Forshern der Sicherheitsfirma Reliaquest Gemeldet. Die Experten Untersuchten Einbrüche, Bei Denen JSP-web-shells Auf Sap-Servern Installer Wurden. Web-shels sind web-skripte, die als hintertüren fungieren und es angreifern ermöglichen, zusätzliche befehle auszuführen oder zusätzliche dateen auf-server hochzuladen.
SAP Netweaver ist Der anwendungsserver und die laufzeitumgebung, die den meisten sap-softwareprodukten sowie den von kunden erstellten individualen geschäftsanwendenngen zugrunde liegt. Beim Sap Netweaver Visual Composer Handelt ESICH UM EIN Webbasiertes SoftwareModellierungstool, MIT DEM BENUTZER ANWENDUNGEN ENTWERFEN UND ESTTELLEN KOTOLNEN, OHNE CODE ZU SCHREIBEN. Die gute nachricht ist, dass der Visual Composer Bei SAP-Bereitstellungen Nicht Standardmäßig Aktivit Ist.
Die von reliaquest Untersuchten angriffe zielten auf einen server-endpunkt namens /developmentserver/metadatauploader AB, Der Für die Handhabung von métadaten-dateien für die anwendungsentwicklung und -konfiguration in sap-anwennungen in der netweaver-umbung vorgesehen ist. Dieser endpunkt ist eigentlich für die übertragung und Verarbeitung von konfigurations dateien gedacht. Angreifer Scheinen Jedoch, Einen Weg Gefunden Zu Haben, Ihn Zu Missbrauchen, Um Web-Shell-Dateien à Das Verzeichnis j2ee/cluster/apps/sap.com/irj/servletjsp/irj/root/ Zu Schreiben.
Sicherheitslücke Ernster als Zunächst Angenommen
Die Reliaquest-Experten Vermuteten Zunächst, Dass Die Angriffe – Die Speziell Gestaltete Post-Anfragen Beinhalteten – Eine Bisher Unkannnte Sicherheitslücke Für Remote Fichier Inclusion (RFI) Ausnutzen Könnten. Im Nachhinein Stellte Sich Aber Heraus, Dass Es Sich um eine Viel Ernstere Sicherheitslücke für den uningschränkten dateiupload handelte.
«Das Ziel der web-shell war klar: die jsp-datei sollte dazu verwendet werden, get-anfragen zu Senden, um croybige befehle auszuführen», alors die forscher. «Diese web-shell gab den angreifern die möglichkeit, nicht autorisierte dateen hochzuladen, die kontrolle über die komprotittierten systeme zu übernehmen Öffentlich Zugänglen Verzeichnissen Ablegen. »
Dir aktivitäten nach der kompromitttierung umfassten die bereitstelng zusätzlicher nutzdaten wie die malware-implantate ‘brute ratel’ und ‘ciel’s gate’. Allerdings Vergingen in der Regel Tage Zwischen der Installation einer web-shell und folgeaktivitäten, beobachteten die Security-Experten. Diese Verzögerung und die Unterschiedlichen Nutzlasten ließen die forscher Vermuten, dass die angriffe das werk eines anfänglichen access courtiers waren, der den zugang zu kompromittitierten servern annere Grupppen einstenten, dann ihre eigenen nutzlasten einstenten.
Hintertüren Stehen Offen
Die Theorie des Initial Access Broker Wird Auch von Watchtowr Untertützt, Dessen Forscher Glauben, Dass der Zugang An ransomware-banden Verkauft wurde beziehungsweise nach wie vor wird. Die Schlechte Nachricht: Der Access Broker Hat Offenbar Keine Schritte Unternommen, Um Seine Web-Shell Mit Authentifizierung Zu Sichern.
Erkennung und Behebung
Unternehmen Können Testen, ob ihre serveur Verwundbar Sind, indem sie überprüfen, ob sie ohne authentifizierung auf https://(your-sap-server)/developmentserver/metadatauploader Zugreifen Können. Wenn der Server Öffentlich Zugänglich ist und auf diese seite ohne anmeldeinformationen zugegriffen werden kann, sollten die protokolle auf anzeichen einer Ausnutzung überprüft werden. Nach Angaben des Sap-SicherHeitsunternehmens redraye Umfasst meurt folgendes:
- Suche Nach Nicht Autorisierten Zugriffsversuchen Auf den Pfad
/developmentserver/metadatauploader - Überprüfung auf unerwartete datei-téléchargements dans webserver-protokollen
- Suche Nach Ungewöhnlichen Ausführungsmustern Oder Verdächtigen Prozessen auf Ihrem SAP-Server
- Überwachung auf nicht autorisierte ausgehende verbinnungen von ihren sap-systemen
Das Unternehmen Hat Muster Zur Verfügung Gestellt, Nach Denen dans Den Zugriffsprotokollen des Webservers Gesucht Werden Kann. Anwenderunternehmen Wird Geraten, Den Zugriff auf die komponte metadata uploader einzuschränken, bis patchs eingespielt werden können.
Die Onapsis Research Labs Haben Zudem Die V1 Eines Scanner-Tools Veröffentlicht, MIT DEM ALLE SAP-KUNDEN Ihre UMGEBUNG Analyseren Können, Um Festzustellen, OB EINES Ihrer Systeme Für CVE-2025-31324 ANFALLIG Aktiv Ausgeutzt Werden.
Das Open-Source-Tool Wird Unter Apache 2.0 Open-source-lizenz Veröffentlicht und Soll Sicherheits-, incident-réponse- und sap-équipes weltweit Unterstützen. ONAPSIS GAB ZUDEM BEKANNT, DAS TOLLE Weiter Zu Aktualisieren, Sobald Neue Informationen Verfügbar Sind.
