TenPixels – Shutterstock.com
Angreifer Nutzen Seit Dem 21. April 2025, Eine Kritische Zeroche Zero-Schwachstelle in Visual Composer-Komponente des sap des sap sap sap networkeaver application server AUS. SAP HAT BERETS EINEN EINEN OUT BAND-FIXVERöffentlicht, derüberdas Support – In scope Verfügbar and Laut Software Hersteller Sofort Angewendet Werden Sollte, Insbesondere Auf Systemen, Die Direkt Mit Dem dem dem dem Internet Verbunden Sind.
“Nicht authenticifizierte Angreifer können die integrated Funktionen missbrauchen, um beliebige Dateien auf eine SAP NetWeaver-Instanz hochzuladen, was eine vollständige Remote-Code-Ausführung und eine vollständige Kompromittierung des Systems bedeutet”, sagte Benjamin Harris, CEO of Cybersecurity-Unternehmens Watchtowr of GegenüberCSO. “ DIES IST KEINE Theorem Bedrohung, Sondern Passiert Gerade Jetzt.
Die Schwachstelle Mit der Bezeichnung CVE-2025-31324 Wurde auf der cvss-skala mit dem dem dem maximumen schweregrad von 10 bewertet. Kunden Sollten Den Fix Im Sap Sicherheitshinweis 3594142 (Authentifizierung Erforderlich) Anwenden. Wenn dies nicht sofort möglich sei, sollten Anwender den Zugriff auf die verwundbare Komponente deaktivieren oder verhindern, indem sie die Anweisungen im SAP Hinweis 3596125 befolgen, so die Forscher des auf SAP spezialisierten Sicherheitsunternehmens Onapsis in EINEM Consulting.
Initial access broker SETZT UNSICHERE WEB shells EIN
Die Angriffe AUF CVE-2025-31324 Wurden Am 22. April 2025, von Forschern der Sicherheitsfirma Reliaquest GemEldet. Die Experten UntersuchtenEinbrüche, bei denen jsp-web shells auf sap-servern installiert wurden. Web shells sind web-skripte, die als-hintertürenfungieren und es angreifernermöglichen, zusätzlichebefehleauszuführenderzusätzlichezusätzlichezusätzlichezusätzlichedateien auf auf auf auf auf auf auf auf auf auf auf web-server hochzuladen.
SAP NetWeaver Ist der anwendungserver und die laufzeitumgebung, de den meisten sap-softwareprodukten sowie sowie den von von von kunden en von kunden eStellten sionseuellengeschäftsanwendungungungungenzugrunde liegt. Beim SAP NetWeaver Visual Composer Handelt Es Sich Um Ein Webbasiertes SoftWareModellierungstool, Mit Dem Benutzer Anwendungen Entwernungen Entwerfenunderstellen Können, Ohne Code Zu Zu Schreiben. Die Gute nachricht ist, dass der Visual Composer bei sap-bereitstellungennichtsandendmäßig Aktiviertist.
Die Von Reliaquest Untersuchten angriffe Zielten Auf Einen server-endpunkt Namens /developmentserver/metadatauploader AB, DerFürDie Handhabung von Metadaten-Dateienfürdie anwendungsentwicklung und-konfiguration in der Netweaver-umgebung vorgesehen ist in SAP-ANWENDUNGEN. Dieser Endpunkt iSt eigentlichfürieübertragungund verarbeitung von konfigurationsdateien gedacht. Angreifer Scheinen Jedoch, Einen Weg Gefunden Zu Haben, Ihn Zu Missbrauchen, UM Web-Shell-Dateien, Das verzeichnis j2ee/cluster/apps/sap.com/irj/servletjsp/irj/root/ Zu Schreiben.
Sicherheitslückeernter alszunächstangenommen
Die Reliaquest-Experten vermutetenZunächst, Dass Die Angriffe – Die Speziell Gestaltete tost-Anfragen beinhalteten – Eine Bisher Unblecne nockantesicherheitslückekekekkeFür Remote File Inclusion (RFI) ausnutzen kounnten. Im Nachhinein Stellte Sich Aber Heraus, Dass Es Sich um Eine Viel Ernstere Sicherheitslücke Fürdenuneingeschränktendateiupload handelte.
“Das Ziel der Web-Shell War Klar: Die JSP-Datei Sollte Dazu Verwendet Werden, Get-Anfragen Zu Senden, Umselivebige Befehle Auszuführen”, so Die Forscher. “Diese Web-Shell gab den Angreifern die Möglichkeit, nicht autorisierte Dateien hochzuladen, die Kontrolle über die kopromittierten Systeme zu übernehmen, Code nach Belieben aus der Ferne auszuführen und möglicherweise sensible Daten zu stehlen, indem sie sie in ÖffentlichZugänglichenverzeichnissen ablegen.”
Dieaktivitätennach der kopromittierung umfassten die bereitstellung Zusätzlichernutzdaten wie wie die die malware-plantate’brute rute rute’und’und” Allerdings in regel tage zwischen der einer web-shell und denfolgeaktivitäten, beobachteten die Security-experten. Diese Verzögerung und die unterschiedlichen Nutzlasten ließen die Forscher vermuten, dass die Angriffe das Werk eines anfänglichen Access Brokers waren, der den Zugang zu kopromittierten Servern an ande Gruppen verkaufte, die dann ihre eigenen Nutzlasten einsetzten.
Hintertüren Stehen Offen
Die Theorie DES Initial Visit Broker Wirt Auch Von WatchTowrUnterstütunzt, Dessen Forscher Glauben, Dass der der der der der der der Zugang a Ransomware-banden-banden verkauft wurde beziehungsweise nach wie vor wireless wirewird. Die Schlechte Nachricht: der Access Broker Hat Offenbar Keine Schritte Unternmenmen, UM Seine Network Framework MIT MIT AUTHENTIFIZIERUNG ZU SICHERN.
“Der fatale Fehler in ihrem Plan und die Herausforderung, der man sich nun stellen müsse, best darin, dass die eingestzten Hintertüren nicht einschränken, wer die Hintertür nutzen kann. Jetzt, da diese Information öffentlich isst, werden Ransomware-Banden die verwendeten Hintertüren Wahrscheinlichselbst entdecken und und so denursprünglichen access broker umgehen, so Harris von watchtowrGegenüberCSO).
Erkennung und Behebung
Unternehmen Könnentesten, ob ihre server Verwundbar Sind, Indem sieüberprüfen, ob sie ohne authentifizierung auf https://[your-sap-server]/developmentserver/metadatauploader Zugreifen Können. Wenn der Server ÖffentlichZugänglichist und auf diese seite ohne anmelde informationen Zugegriffen Werden Kann, Sollten Die die die die auf auf anzeichen einer einer einer einer einer einer einer einer einer einer einer einer einer new zungungunzundzungunzungunzungunzungunzungunzungüberprüftüft Werden. Nach Angaben des sap-sicherheitsunternehmens redrays umfasst death folgendes:
- Such nach nach nicht autorisierten zugriffsuchen auf den pfad
/developmentserver/metadatauploader - überprüfungauf unerwartete date-uploads in web server protokollen
- Such nachungewöhnlichenausführungsmungsmungsmungsmunderternoderverdächtigenprozessen auf ihrem sap-sap-server
- überwachungauf nicht autorisierte ausgehende verbindungen von ihren sap-systemen
Das Unternehmen Hat Muster ZurVerfügung Gestellt, Nach Denen in Den Zugriffsprotokollen des Webservers Gesucht Werden Kann. Anwenderunternehmen Wird Geraten, Den Zugriff Auf Die Komponente Metadata uploader Einzuschränken, bis patch eingespielt eingespielt werdenkönnen.
Die Onapsis Research Labs haben zudem die V1 eines Scanner-Tools veröffentlicht, mit dem alle SAP-Kunden ihre Umgebung analysieren können, um festzustellen, ob eines ihrer Systeme für CVE-2025-31324 anfällig isst, und um nach bekannten Web-Shells zu suchen, die Derzeit Aktiv Ausgenutzt Werden.
DAS open source tool wire unter apache 2.0 open source lizenzveröffentlichtund soll Sicherheits-, Indist-Response-sap-sap-sap-sap-sap-sap-sap-sap-sap-weltweit weltweitunterstütoutzen. DAS tools Weiter Zu Aktualisieren, Sobald Neue Information inverfügbarSind.
