Open-Source-Scanner veröffentlicht

SAP NetWeaver: Zweite Angriffswelle nach Zero-Day-Ausnutzung

SAP
LinkedInRedditWhatsAppPocket

Sicherheitsexperten beobachten derzeit eine zweite Welle von Cyberangriffen auf kompromittierte SAP NetWeaver-Systeme, die zuvor über eine kritische Zero-Day-Lücke infiltriert wurden.

Wie die Sicherheitsfirma Onapsis warnt, nutzen opportunistische Angreifer nun die bei der ersten Angriffswelle platzierten Webshells, um weitere Schadsoftware nachzuladen. Die betroffene Sicherheitslücke mit der Kennung CVE-2025-31324 erhielt aufgrund ihrer Kritikalität die höchstmögliche CVSS-Bewertung von 10/10 Punkten.

Anzeige

Kritische Schwachstelle seit Wochen aktiv ausgenutzt

SAP hatte die Sicherheitslücke am 24. April in einem aktualisierten Sicherheitsbulletin veröffentlicht, nachdem das Cybersecurity-Unternehmen ReliaQuest Angriffe auch auf vollständig gepatchte Systeme beobachtet hatte. Laut Mandiant wurden die Schwachstellen bereits seit mindestens Mitte März 2025 aktiv ausgenutzt.

Bei dem Sicherheitsdefekt handelt es sich um eine fehlende Autorisierungsprüfung im Visual Composer-Entwicklungsserver von NetWeaver. SAP bestätigte, dass Angreifer die Lücke nutzten, um schädliche Dateien in bestimmte Pfade auf verwundbaren Servern hochzuladen.

Die Cyberkriminellen haben dabei vor allem JSP-Webshells im Root-Verzeichnis platziert, die es ihnen ermöglichen, zusätzliche Schadprogramme nachzuladen, Code auszuführen und sich lateral in den betroffenen Umgebungen zu bewegen.

Anzeige

Hilfe für Unternehmen: Open-Source-Scanner verfügbar

Als Reaktion auf die anhaltenden Angriffe haben Onapsis und Mandiant am vergangenen Freitag einen Open-Source-Scanner veröffentlicht, der Unternehmen bei der Suche nach Kompromittierungsanzeichen im Zusammenhang mit CVE-2025-31324 unterstützen soll.

Das Tool kann sowohl verwundbare Systeme identifizieren als auch nach Anzeichen einer Kompromittierung suchen, unbekannte ausführbare Webdateien in bekannten Verzeichnissen aufspüren und verdächtige Dateien für spätere Analysen sammeln.

Da im Zuge der umfangreichen Ausnutzung weitere Webshells entdeckt wurden, aktualisierte Onapsis am 5. Mai eine bereits in der Vorwoche veröffentlichte YARA-Regel, die Organisationen helfen soll, Webshell-Zugriffe zuverlässiger zu erkennen.

Laut Daten der gemeinnützigen Cybersicherheitsorganisation Shadowserver Foundation sind noch immer mehr als 200 über das Internet erreichbare NetWeaver-Instanzen für CVE-2025-31324 anfällig.


Lars

Becker

Redakteur

IT Verlag GmbH

Anzeige

Weitere Artikel

„AirBorne“-Sicherheitslücken: Milliarden Apple-Geräte gefährdet
Klage: Techniker ließ Freundin in Serverraum der Deutschen Bank
NSO: Fast 168 Mio. Dollar Strafe für WhatsApp-Überwachung
IT-Roadmap 3.0 – Digitale Zukunft strategisch gestalten
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.