SAP hat ein kritisches Sicherheitsupdate veröffentlicht, um eine schwerwiegende Zero-Day-Schwachstelle in NetWeaver Visual Composer zu beheben. Die als CVE-2025-31324 klassifizierte Sicherheitslücke erhielt die höchstmögliche CVSS-Bewertung von 10.0 und ermöglicht Angreifern die unautorisierte Remote-Code-Ausführung. Besonders besorgniserregend ist die Tatsache, dass diese Schwachstelle bereits aktiv von Cyberkriminellen ausgenutzt wird.
Technische Analyse der Schwachstelle
Die Sicherheitslücke wurde im Metadata Uploader-Komponenten des SAP NetWeaver Visual Composer identifiziert. Über den Pfad /developmentserver/metadatauploader können nicht authentifizierte Angreifer schädliche ausführbare Dateien hochladen. Dies kann zur vollständigen Kompromittierung des Zielsystems führen, wobei keine vorherige Authentifizierung erforderlich ist.
Dokumentierte Angriffe und Exploit-Methoden
Das Sicherheitsunternehmen ReliaQuest hat mehrere erfolgreiche Angriffe auf Unternehmensinfrastrukturen dokumentiert. Die Angreifer platzierten JSP-Webshells in öffentlich zugänglichen Verzeichnissen, die anschließend die Ausführung beliebiger Befehle über simple GET-Requests ermöglichten. Bemerkenswert ist, dass diese Angriffe auch auf vollständig gepatchten Systemen erfolgreich waren.
Fortgeschrittene Angriffstechniken
Nach der initialen Kompromittierung setzen die Angreifer verschiedene hochentwickelte Tools und Techniken ein:
- Red Team Tool Brute Ratel zur Post-Exploitation
- Heaven’s Gate Evasionsmethode zur Umgehung von Sicherheitsmechanismen
- Code-Injection via MSBuild in dllhost.exe-Prozesse
Implikationen für die Unternehmenssicherheit
WatchTowr’s CEO Benjamin Harris bestätigt die aktive Ausnutzung von CVE-2025-31324. Die Analysen zeigen, dass Angreifer die Schwachstelle primär zur Installation von Backdoors und zur Etablierung persistenter Zugänge nutzen. Die beobachteten Angriffsmuster deuten auf Initial Access Broker hin, die kompromittierte Systeme auf dem Schwarzmarkt weiterverkaufen.
Organisationen, die SAP NetWeaver einsetzen, wird dringend empfohlen, umgehend die verfügbaren Sicherheitsupdates zu implementieren. Darüber hinaus sollte eine gründliche Systemprüfung durchgeführt werden, mit besonderem Fokus auf verdächtige Dateien in öffentlichen Verzeichnissen und ungewöhnliche Aktivitäten in den Systemprotokollen. Die Einrichtung zusätzlicher Monitoring-Mechanismen und die Implementierung einer Mehr-Faktor-Authentifizierung können das Risiko weiterer Kompromittierungen signifikant reduzieren.
