{"id":2997,"date":"2025-04-30T11:56:59","date_gmt":"2025-04-30T11:56:59","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=2997"},"modified":"2025-04-30T11:56:59","modified_gmt":"2025-04-30T11:56:59","slug":"kritische-zero-day-schwachstelle-in-sap-netweaver","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=2997","title":{"rendered":"Kritische Zero-Day-Schwachstelle in SAP NetWeaver"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
width=”1888″ height=”1062″ sizes=”(max-width: 1888px) 100vw, 1888px”>Hacker k\u00f6nnten \u00fcber eine Schwachstelle im NetWeaver auf SAP-Systeme zugreifen, Schadcode einschleusen und so die Kontrolle \u00fcbernehmen. \n

TenPixels \u2013 shutterstock.com<\/p>\n<\/div>\n

Angreifer nutzen seit dem 21. April 2025 eine kritische Zero-Day-Schwachstelle in der Visual Composer-Komponente des SAP NetWeaver Application Server aus. SAP hat bereits einen Out-of-Band-Fix ver\u00f6ffentlicht, der \u00fcber das Support-Portal verf\u00fcgbar ist und laut Softwarehersteller sofort angewendet werden sollte, insbesondere auf Systemen, die direkt mit dem Internet verbunden sind.<\/p>\n

\u201cNicht authentifizierte Angreifer k\u00f6nnen die integrierten Funktionen missbrauchen, um beliebige Dateien auf eine SAP NetWeaver-Instanz hochzuladen, was eine vollst\u00e4ndige Remote-Code-Ausf\u00fchrung und eine vollst\u00e4ndige Kompromittierung des Systems bedeutet\u201d, sagte Benjamin Harris, CEO des Cybersecurity-Unternehmens WatchTowr, gegen\u00fcber CSO. \u201cDies ist keine theoretische Bedrohung, sondern passiert gerade jetzt. WatchTowr stellt fest, dass Bedrohungsakteure diese Schwachstelle aktiv ausnutzen, um Web-Shell-Hintert\u00fcren in ungesch\u00fctzte Systeme einzuschleusen und sich weiteren Zugang zu verschaffen.\u201d<\/p>\n

Die Schwachstelle mit der Bezeichnung CVE-2025-31324<\/a> wurde auf der CVSS-Skala mit dem maximalen Schweregrad von 10 bewertet. Kunden sollten den Fix im SAP Sicherheitshinweis 3594142<\/a> (Authentifizierung erforderlich) anwenden. Wenn dies nicht sofort m\u00f6glich sei, sollten Anwender den Zugriff auf die verwundbare Komponente deaktivieren oder verhindern, indem sie die Anweisungen im SAP Hinweis 3596125<\/a> befolgen, so die Forscher des auf SAP spezialisierten Sicherheitsunternehmens Onapsis in einem Advisory.<\/a><\/p>\n

Initial Access Broker setzt unsichere Web-Shells ein<\/h2>\n

Die Angriffe auf CVE-2025-31324 wurden<\/a> am 22. April 2025 von Forschern der Sicherheitsfirma ReliaQuest gemeldet<\/a>. Die Experten untersuchten Einbr\u00fcche, bei denen JSP-Web-Shells auf SAP-Servern installiert wurden. Web-Shells sind Web-Skripte, die als Hintert\u00fcren fungieren und es Angreifern erm\u00f6glichen, zus\u00e4tzliche Befehle auszuf\u00fchren oder zus\u00e4tzliche Dateien auf Web-Server hochzuladen.<\/p>\n

SAP NetWeaver ist der Anwendungsserver und die Laufzeitumgebung, die den meisten SAP-Softwareprodukten sowie den von Kunden erstellten individuellen Gesch\u00e4ftsanwendungen zugrunde liegt. Beim SAP NetWeaver Visual Composer handelt es sich um ein webbasiertes Softwaremodellierungstool, mit dem Benutzer Anwendungen entwerfen und erstellen k\u00f6nnen, ohne Code zu schreiben. Die gute Nachricht ist, dass der Visual Composer bei SAP-Bereitstellungen nicht standardm\u00e4\u00dfig aktiviert ist.<\/p>\n

Die von ReliaQuest untersuchten Angriffe zielten auf einen Server-Endpunkt namens \/developmentserver\/metadatauploader ab, der f\u00fcr die Handhabung von Metadaten-Dateien f\u00fcr die Anwendungsentwicklung und -konfiguration in SAP-Anwendungen in der NetWeaver-Umgebung vorgesehen ist. Dieser Endpunkt ist eigentlich f\u00fcr die \u00dcbertragung und Verarbeitung von Konfigurationsdateien gedacht. Angreifer scheinen jedoch, einen Weg gefunden zu haben, ihn zu missbrauchen, um Web-Shell-Dateien in das Verzeichnis j2ee\/cluster\/apps\/sap.com\/irj\/servletjsp\/irj\/root\/ zu schreiben.<\/p>\n

Sicherheitsl\u00fccke ernster als zun\u00e4chst angenommen<\/h2>\n

Die ReliaQuest-Experten vermuteten zun\u00e4chst, dass die Angriffe \u2013 die speziell gestaltete POST-Anfragen beinhalteten \u2013 eine bisher unbekannte Sicherheitsl\u00fccke f\u00fcr Remote File Inclusion (RFI) ausnutzen k\u00f6nnten. Im nachhinein stellte sich aber heraus, dass es sich um eine viel ernstere Sicherheitsl\u00fccke f\u00fcr den uneingeschr\u00e4nkten Dateiupload handelte.<\/p>\n

\u201cDas Ziel der Web-Shell war klar: Die JSP-Datei sollte dazu verwendet werden, GET-Anfragen zu senden, um beliebige Befehle auszuf\u00fchren\u201d, so die Forscher. \u201cDiese Web-Shell gab den Angreifern die M\u00f6glichkeit, nicht autorisierte Dateien hochzuladen, die Kontrolle \u00fcber die kompromittierten Systeme zu \u00fcbernehmen, Code nach Belieben aus der Ferne auszuf\u00fchren und m\u00f6glicherweise sensible Daten zu stehlen, indem sie sie in \u00f6ffentlich zug\u00e4nglichen Verzeichnissen ablegen.\u201d<\/p>\n

Die Aktivit\u00e4ten nach der Kompromittierung umfassten die Bereitstellung zus\u00e4tzlicher Nutzdaten wie die Malware-Implantate \u2018Brute Ratel\u2019 und \u2018Heaven\u2019s Gate\u2019. Allerdings vergingen in der Regel Tage zwischen der Installation einer Web-Shell und den Folgeaktivit\u00e4ten, beobachteten die Security-Experten. Diese Verz\u00f6gerung und die unterschiedlichen Nutzlasten lie\u00dfen die Forscher vermuten, dass die Angriffe das Werk eines anf\u00e4nglichen Access Brokers waren, der den Zugang zu kompromittierten Servern an andere Gruppen verkaufte, die dann ihre eigenen Nutzlasten einsetzten.<\/p>\n

Hintert\u00fcren stehen offen<\/h2>\n

Die Theorie des Initial Access Broker wird auch von watchTowr unterst\u00fctzt, dessen Forscher glauben, dass der Zugang an Ransomware-Banden verkauft wurde beziehungsweise nach wie vor wird. Die schlechte Nachricht: Der Access Broker hat offenbar keine Schritte unternommen, um seine Web-Shell mit Authentifizierung zu sichern.<\/p>\n

\u201cDer fatale Fehler in ihrem Plan und die Herausforderung, der man sich nun stellen m\u00fcsse, besteht darin, dass die eingesetzten Hintert\u00fcren nicht einschr\u00e4nken, wer die Hintert\u00fcr nutzen kann. Jetzt, da diese Information \u00f6ffentlich ist, werden Ransomware-Banden die verwendeten Hintert\u00fcren wahrscheinlich selbst entdecken und so den urspr\u00fcnglichen Access Brokers umgehen\u201d, so Harris von watchTowr gegen\u00fcber CSO.<\/p>\n

Erkennung und Behebung<\/h2>\n

Unternehmen k\u00f6nnen testen, ob ihre Server verwundbar sind, indem sie \u00fcberpr\u00fcfen, ob sie ohne Authentifizierung auf https:\/\/[your-sap-server]\/developmentserver\/metadatauploader zugreifen k\u00f6nnen. Wenn der Server \u00f6ffentlich zug\u00e4nglich ist und auf diese Seite ohne Anmeldeinformationen zugegriffen werden kann, sollten die Protokolle auf Anzeichen einer Ausnutzung \u00fcberpr\u00fcft werden. Nach Angaben des SAP-Sicherheitsunternehmens RedRays<\/a> umfasst dies Folgendes:<\/p>\n

Suche nach nicht autorisierten Zugriffsversuchen auf den Pfad \/developmentserver\/metadatauploader <\/p>\n

\u00dcberpr\u00fcfung auf unerwartete Datei-Uploads in Webserver-Protokollen<\/p>\n

Suche nach ungew\u00f6hnlichen Ausf\u00fchrungsmustern oder verd\u00e4chtigen Prozessen auf Ihrem SAP-Server<\/p>\n

\u00dcberwachung auf nicht autorisierte ausgehende Verbindungen von Ihren SAP-Systemen<\/p>\n

Das Unternehmen hat Muster zur Verf\u00fcgung gestellt, nach denen in den Zugriffsprotokollen des Webservers gesucht werden kann. Anwenderunternehmen wird geraten, den Zugriff auf die Komponente Metadata Uploader einzuschr\u00e4nken, bis Patches eingespielt werden k\u00f6nnen.<\/p>\n

Die Onapsis Research Labs<\/a> haben zudem die V1 eines Scanner-Tools<\/a> ver\u00f6ffentlicht, mit dem alle SAP-Kunden ihre Umgebung analysieren k\u00f6nnen, um festzustellen, ob eines ihrer Systeme f\u00fcr CVE-2025-31324 anf\u00e4llig ist, und um nach bekannten Web-Shells zu suchen, die derzeit aktiv ausgenutzt werden.<\/p>\n

Das Open-Source-Tool wird unter Apache 2.0 Open-Source-Lizenz ver\u00f6ffentlicht und soll Sicherheits-, Incident-Response- und SAP-Teams weltweit unterst\u00fctzen. Onapsis gab zudem bekannt, das Tool weiter zu aktualisieren, sobald neue Informationen verf\u00fcgbar sind.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

width=”1888″ height=”1062″ sizes=”(max-width: 1888px) 100vw, 1888px”>Hacker k\u00f6nnten \u00fcber eine Schwachstelle im NetWeaver auf SAP-Systeme zugreifen, Schadcode einschleusen und so die Kontrolle \u00fcbernehmen. TenPixels \u2013 shutterstock.com Angreifer nutzen seit dem 21. April 2025 eine kritische Zero-Day-Schwachstelle in der Visual Composer-Komponente des SAP NetWeaver Application Server aus. SAP hat bereits einen Out-of-Band-Fix ver\u00f6ffentlicht, der \u00fcber das Support-Portal […]<\/p>\n","protected":false},"author":0,"featured_media":2998,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-2997","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2997"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2997"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2997\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/2998"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2997"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2997"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2997"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}