Sicherheitsexperten beobachten derzeit eine zweite Welle von Cyberangriffen auf kompromittierte SAP NetWeaver-Systeme, die zuvor über eine kritische Zero-Day-Lücke infiltriert wurden.
Wie die Sicherheitsfirma Onapsis warnt, nutzen opportunistische Angreifer nun die bei der ersten Angriffswelle platzierten Webshells, um weitere Schadsoftware nachzuladen. Die betroffene Sicherheitslücke mit der Kennung CVE-2025-31324 erhielt aufgrund ihrer Kritikalität die höchstmögliche CVSS-Bewertung von 10/10 Punkten.
Kritische Schwachstelle seit Wochen aktiv ausgenutzt
SAP hatte die Sicherheitslücke am 24. April in einem aktualisierten Sicherheitsbulletin veröffentlicht, nachdem das Cybersecurity-Unternehmen ReliaQuest Angriffe auch auf vollständig gepatchte Systeme beobachtet hatte. Laut Mandiant wurden die Schwachstellen bereits seit mindestens Mitte März 2025 aktiv ausgenutzt.
Bei dem Sicherheitsdefekt handelt es sich um eine fehlende Autorisierungsprüfung im Visual Composer-Entwicklungsserver von NetWeaver. SAP bestätigte, dass Angreifer die Lücke nutzten, um schädliche Dateien in bestimmte Pfade auf verwundbaren Servern hochzuladen.
Die Cyberkriminellen haben dabei vor allem JSP-Webshells im Root-Verzeichnis platziert, die es ihnen ermöglichen, zusätzliche Schadprogramme nachzuladen, Code auszuführen und sich lateral in den betroffenen Umgebungen zu bewegen.
Hilfe für Unternehmen: Open-Source-Scanner verfügbar
Als Reaktion auf die anhaltenden Angriffe haben Onapsis und Mandiant am vergangenen Freitag einen Open-Source-Scanner veröffentlicht, der Unternehmen bei der Suche nach Kompromittierungsanzeichen im Zusammenhang mit CVE-2025-31324 unterstützen soll.
Das Tool kann sowohl verwundbare Systeme identifizieren als auch nach Anzeichen einer Kompromittierung suchen, unbekannte ausführbare Webdateien in bekannten Verzeichnissen aufspüren und verdächtige Dateien für spätere Analysen sammeln.
Da im Zuge der umfangreichen Ausnutzung weitere Webshells entdeckt wurden, aktualisierte Onapsis am 5. Mai eine bereits in der Vorwoche veröffentlichte YARA-Regel, die Organisationen helfen soll, Webshell-Zugriffe zuverlässiger zu erkennen.
Laut Daten der gemeinnützigen Cybersicherheitsorganisation Shadowserver Foundation sind noch immer mehr als 200 über das Internet erreichbare NetWeaver-Instanzen für CVE-2025-31324 anfällig.