Kritieke SAP NetWeaver-fout (CVE-2025-31324) Actief uitgebuit

Een kritieke beveiligingsfout in de Visual Composer-component van SAP NetWeaver, geïdentificeerd als CVE-2025-31324, is actief uitgebuit door dreigingsactoren.

Deze kwetsbaarheid maakt het mogelijk dat niet-geverifieerde aanvallers schadelijke bestanden uploaden, wat kan leiden tot een potentieel volledig systeemcompromittering. SAP heeft een patch uitgebracht om dit probleem op te lossen, en organisaties worden aangespoord om dit onmiddellijk toe te passen.

CVE-2025-31324 Technisch overzicht

De kwetsbaarheid ligt in de /developmentserver/metadatauploader eindpunt van SAP NetWeaver's Visual Composer. Vanwege ontbrekende autorisatiecontroles, aanvallers kunnen kwaadaardige JSP-bestanden uploaden zonder authenticatie. Eenmaal geüpload naar de servlet_jsp/irj/root/ directory, Deze bestanden kunnen op afstand worden uitgevoerd, aanvallers controle over het systeem geven.

Exploitatie in de wildernis

Beveiligingsbedrijf ReliaQuest ontdekte dat aanvallers hier misbruik van maken SAP-kwetsbaarheid om JSP-webshells te implementeren, het faciliteren van ongeautoriseerde bestandsuploads en code-uitvoering. Geavanceerde technieken, inclusief het gebruik van Brute Ratel en de Heaven's Gate-methode, zijn waargenomen om persistentie te behouden en detectie te ontwijken. In sommige gevallen, aanvallers hebben dagen nodig gehad om van de eerste toegang over te gaan tot verdere exploitatie, het voorstellen van de betrokkenheid van initiële toegangsmakelaars.

Indicatoren van compromis (IOC's)

• Pogingen tot onbevoegde toegang tot de /developmentserver/metadatauploader pad.
• Onverwachte JSP-bestanden in de servlet_jsp/irj/root/ directory, zoals helper.jsp en cache.jsp.
• Ongebruikelijke uitgaande verbindingen vanuit SAP-systemen.

Mitigatiestappen

1. Breng de pleister aan: Implementeer SAP-beveiligingsnotitie 3594142 om CVE-2025-31324 aan te pakken.
2. Beperkte toegang: Beperk de toegang tot de /developmentserver eindpunt via firewallregels.
3. Monitorlogboeken: Controleer SAP NetWeaver-logs continu op verdachte activiteiten.
4. Inspecteren op webshells: Controleer regelmatig de servlet_jsp/irj/root/ map voor ongeautoriseerde bestanden.
5. Visual Composer uitschakelen: Indien niet in gebruik, Overweeg het uitschakelen van het Visual Composer-component om de aanvalsoppervlakken te verkleinen.

Organisaties die SAP NetWeaver gebruiken, moeten prioriteit geven aan deze mitigerende stappen om zich te beschermen tegen mogelijke exploitatie van deze kritieke kwetsbaarheid.