Eine kritische Sicherheitslücke in der Visual Composer-Komponente von SAP NetWeaver, identifiziert als CVE-2025-31324, wurde von Bedrohungsakteuren aktiv ausgenutzt.
Diese Sicherheitslücke ermöglicht es nicht authentifizierten Angreifern, schädliche Dateien hochzuladen, was zu einer möglichen vollständigen Kompromittierung des Systems führen kann. SAP hat einen Patch veröffentlicht, um dieses Problem zu beheben, und Organisationen werden dringend gebeten, es sofort anzuwenden.
CVE-2025-31324 – Technischer Überblick
Die Schwachstelle liegt in der /developmentserver/metadatauploader Endpunkt des Visual Composer von SAP NetWeaver. Aufgrund fehlender Berechtigungsprüfungen, Angreifer können schädliche JSP-Dateien ohne Authentifizierung hochladen. Nach dem Hochladen auf die servlet_jsp/irj/root/ Verzeichnis, Diese Dateien können remote ausgeführt werden, Angreifern die Kontrolle über das System geben.
Ausbeutung in freier Wildbahn
Das Sicherheitsunternehmen ReliaQuest hat herausgefunden, dass Angreifer dies ausnutzen SAP-Sicherheitslücke zum Bereitstellen von JSP-Web-Shells, Ermöglichung nicht autorisierter Datei-Uploads und Codeausführung. Fortgeschrittene Techniken, einschließlich der Verwendung von Brute Ratel und der Heaven's Gate-Methode, Es wurde beobachtet, dass sie ihre Persistenz bewahren und der Entdeckung entgehen. In einigen Fällen, Angreifer brauchten Tage, um vom ersten Zugriff zur weiteren Ausnutzung zu gelangen, was die Einbeziehung von Erstzugangsvermittlern nahelegt.
Indikatoren für einen Kompromiss (IOCs)
- Unberechtigte Zugriffsversuche auf die
/developmentserver/metadatauploaderWeg. - Unerwartete JSP-Dateien in der
servlet_jsp/irj/root/Verzeichnis, sowiehelper.jspundcache.jsp. - Ungewöhnliche ausgehende Verbindungen von SAP-Systemen.
Maßnahmen zur Risikominderung
- Wenden Sie den Patch an: SAP-Sicherheitshinweis implementieren 3594142 zur Behebung von CVE-2025-31324.
- Zugriff einschränken: Beschränken Sie den Zugriff auf
/developmentserverEndpunkt durch Firewall-Regeln. - Monitorprotokolle: Überwachen Sie SAP NetWeaver-Protokolle kontinuierlich auf verdächtige Aktivitäten.
- Auf Web Shells prüfen: Überprüfen Sie regelmäßig die
servlet_jsp/irj/root/Verzeichnis für nicht autorisierte Dateien. - Visual Composer deaktivieren: Bei Nichtgebrauch, Erwägen Sie die Deaktivierung der Visual Composer-Komponente, um die Angriffsfläche zu verringern.
Unternehmen, die SAP NetWeaver verwenden, sollten diese Maßnahmen zur Risikominderung priorisieren, um sich vor der potenziellen Ausnutzung dieser kritischen Sicherheitslücke zu schützen..
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: