Kritische Zero-Day-Sicherheitslücke in SAP NetWeaver Ausgenutzt
Am 21. April 2025 wurde eine gravierende Zero-Day-Schwachstelle in der Visual Composer-Komponente des SAP NetWeaver Application Servers entdeckt. Diese Schwachstelle ermöglicht es Angreifern, unbefugt auf SAP-Systeme zuzugreifen, Schadcode einzuschleusen und die Kontrolle über die Systeme zu übernehmen. SAP hat daraufhin umgehend einen sogenannten Out-of-Band-Fix bereitgestellt, der über das Support-Portal zugänglich ist und dringend von den Anwendern angewendet werden sollte, insbesondere auf Systemen, die direkt mit dem Internet verbunden sind.
Benjamin Harris, CEO des Cybersecurity-Unternehmens WatchTowr, kommentierte die Situation und erklärte, dass nicht authentifizierte Angreifer die integrierten Funktionen missbrauchen können, um beliebige Dateien auf eine SAP NetWeaver-Instanz hochzuladen. Dies bedeutet eine vollständige Remote-Code-Ausführung und stellt eine erhebliche Bedrohung dar. Harris unterstrich, dass diese Bedrohung nicht theoretisch ist, sondern aktiv ausgenutzt wird. WatchTowr hat festgestellt, dass Bedrohungsakteure die Schwachstelle gezielt angreifen, um Web-Shell-Hintertüren in ungeschützte Systeme einzuschleusen und sich somit erweiterten Zugang zu verschaffen.
Die Schwachstelle trägt die Bezeichnung CVE-2025-31324 und wurde mit der maximalen Schwere von 10 auf der CVSS-Skala bewertet. Unternehmen sind daher aufgefordert, den Fix im SAP Sicherheitshinweis 3594142 umgehend zu implementieren. Für den Fall, dass eine sofortige Anwendung nicht möglich ist, wird empfohlen, den Zugriff auf die betroffene Komponente auszusetzen oder zu beschränken. Dies soll gemäß den Richtlinien im SAP Hinweis 3596125 geschehen.
Nutzung Unsicherer Web-Shells durch Angreifer
Am 22. April 2025 berichteten Sicherheitsexperten der Firma ReliaQuest über die Angriffe, die auf der vulnerablen Komponente basieren. Diese Angriffe beinhalteten die Installation von JSP-Web-Shells auf SAP-Servern, wobei Web-Shells als Hintertüren fungieren. Sie ermöglichen es Angreifern, zusätzliche Befehle auszuführen und weitere Dateien auf den Webserver hochzuladen.
Der SAP NetWeaver ist ein essentieller Anwendungsserver und die Laufzeitumgebung für viele SAP-Softwareprodukte sowie individuelle Geschäftsanwendungen von Kunden. Das Visual Composer-Tool ist dafür bekannt, dass es den Nutzern erlaubt, Anwendungen zu entwerfen, ohne dass Programmierkenntnisse erforderlich sind. Positiv zu vermerken ist, dass der Visual Composer in der Regel nicht standardmäßig aktiviert ist, was ein gewisses Maß an Sicherheit bietet.
Die Attacken zielten spezifisch auf einen Kontext namens /developmentserver/metadatauploader, der für die Handhabung von Metadaten-Dateien für die Anwendungsentwicklung verantwortlich ist. Die Angreifer scheinen eine Schwachstelle gefunden zu haben, um in das Verzeichnis j2ee/cluster/apps/sap.com/irj/servletjsp/irj/root/ zu gelangen. Die daraufhin installierten Web-Shells ermöglichen es den Angreifern, unerlaubt Dateien hochzuladen, Systeme zu kompromittieren, Code aus der Ferne auszuführen und möglicherweise sensible Daten zu stehlen.
Ernsthaltigkeit der Sicherheitslücke Erkennen
Zunächst vermuteten die Sicherheitsexperten von ReliaQuest, dass die Angriffe eine unbekannte Sicherheitslücke für Remote File Inclusion (RFI) ausnutzten. Später stellte sich jedoch heraus, dass es sich um eine kritische Lücke für den uneingeschränkten Datei-Upload handelte. Die Forscher merkten an, dass das Ziel der Web-Shell klar war: Es sollte damit möglich sein, GET-Anfragen zu senden, um beliebige Befehle auszuführen.
Die Nachfolgetätigkeiten umfassten die Bereitstellung zusätzlicher Malware wie ‘Brute Ratel’ und ‘Heaven’s Gate’. Die Sicherheitsspezialisten beobachteten zudem, dass zwischen der Installation der Web-Shell und den darauf folgenden Aktivitäten oft Tage vergingen. Diese Verzögerungen führten die Experten zu der Annahme, dass es sich bei den Angreifern um Initial Access Brokers handelt, die den Zugang zu den kompromittierten Servern an andere Gruppen verkauften.
Offene Hintertüren und Risiken
Die Theorie der Initial Access Brokers wird von den Beobachtungen von WatchTowr untermauert. Die Forscher gehen davon aus, dass der Zugang möglicherweise an Ransomware-Gruppen verkauft wurde. Zudem besteht die alarmierende Erkenntnis, dass diese Hintertüren nicht sicher sind. Harris erläuterte die Gefährdung: "Der kritische Fehler liegt darin, dass die eingesetzten Hintertüren nicht einschränken, wer sie nutzen kann." Diese Tatsache könnte dazu führen, dass andere Bedrohungsakteure, insbesondere Ransomware-Banden, die Schwachstelle selbst ausnutzen, ohne den ursprünglichen Access Broker zu konsultieren.
Früherkennung und Abhilfe mit Sicherheitsmaßnahmen
Unternehmen können testen, ob ihre Systeme anfällig sind, indem sie prüfen, ob der Zugang zu https://[your-sap-server]/developmentserver/metadatauploader ohne Authentifizierung möglich ist. Wenn dies der Fall ist, wird geraten, die Serverprotokolle auf verdächtige Aktivitäten hin zu überprüfen. Zu den empfohlenen Maßnahmen gehören die Suche nach unautorisierten Zugriffen und unerwarteten Datei-Uploads sowie die Überwachung ungewöhnlicher Ausführungsmuster auf den SAP-Servern.
Die Sicherheitsfirma Onapsis hat auch Tools zur Verfügung gestellt, um SAP-Kunden bei der Analyse ihrer Systeme im Hinblick auf potentielle Schwachstellen zu unterstützen. Dieses Open-Source-Tool wird unter einer Apache 2.0-Lizenz veröffentlicht und soll dazu beitragen, die Sicherheitslage weltweit zu verbessern.
Die Anwendungsfälle und Maßnahmen zur Schadensbegrenzung müssen von allen betroffenen Unternehmen dringend umgesetzt werden, um das Risiko einer Kompromittierung durch diese schwerwiegende Sicherheitslücke zu minimieren.