Photo credit: www.csoonline.com

Schwerwiegende SAP-Sicherheitslücke bedroht Unternehmen

Ein kritisches Sicherheitsproblem, das seit dem 21. April 2025 ausgenutzt wird, betrifft die Visual Composer-Komponente des SAP NetWeaver Application Servers. Diese Schwachstelle ermöglicht es Angreifern, nicht autorisierten Zugang zu SAP-Systemen zu erlangen und potenziell schädlichen Code einzufügen. SAP hat bereits einen dringenden Fix veröffentlicht, der umgehend angewendet werden sollte, insbesondere auf Systemen, die direkt mit dem Internet verbunden sind.

Benjamin Harris, Geschäftsführer von WatchTowr, kündigte an: „Angreifer, die nicht authentifiziert sind, können Funktionen ausnutzen, um beliebige Dateien auf SAP NetWeaver-Instanzen hochzuladen. Dies führt zu einer vollständigen Remote-Code-Ausführung, was eine gravierende Bedrohung darstellt.“ Aktuell nutzen Cyberkriminelle diese Lücke aktiv aus, um sogenannte Web-Shells auf ungeschützten Systemen zu installieren, was ihnen erlaubt, zusätzlichen Zugang zu erlangen.

Die Sicherheitsanfälligkeit mit der Bezeichnung CVE-2025-31324 wurde mit dem höchsten Schweregrad von 10 auf der CVSS-Skala bewertet. Kunden sollten umgehend den Fix aus dem SAP Sicherheitshinweis 3594142 anwenden. Ist dies nicht sofort möglich, wird empfohlen, den Zugang zur betroffenen Komponente zu sperren und die notwendigen Maßnahmen gemäß SAP Hinweis 3596125 zu befolgen.

Initial Access Broker und unsichere Web-Shells

Am 22. April 2025 wurde entdeckt, dass diese Angriffe durch Sicherheitsforscher von ReliaQuest analysiert wurden. Dabei wurden JSP-Web-Shells auf SAP-Servern gefunden, die es Angreifern ermöglichen, zusätzliche Befehle auszuführen oder Dateien hochzuladen. SAP NetWeaver ist die Grundlage vieler SAP-Softwareprodukte und individueller Geschäftsanwendungen. Der Visual Composer, ein webbasierter Modellierungsdienst, ist bei neuen SAP-Installationen nicht standardmäßig aktiviert, was vorerst einen gewissen Schutz bietet.

Die spezifischen Angriffe richteten sich auf einen Endpunkt innerhalb der Serverarchitektur, der für die Verarbeitung von Metadaten in der Anwendungsentwicklung zuständig ist. Angreifer fanden einen Weg, um diesen Endpunkt zu kompromittieren und bösartige Web-Shell-Dateien zu installieren.

Schwere der Sicherheitslücke unterschätzt

Forscher vermuteten zunächst, dass diese Angriffe eine bisher unbekannte Sicherheitsanfälligkeit für Remote File Inclusion (RFI) ausnutzen könnten. Schließlich stellte sich jedoch heraus, dass es sich um eine gravierende Schwachstelle für ungeschützten Datei-Upload handelt.

„Die Absicht hinter der Web-Shell war deutlich: Befehle wurden ausgeführt, um unbefugte Dateien hochzuladen und die Kontrolle über die Systeme zu übernehmen“, erklärten die Analysten. Diese Aktivitäten könnten auch zum Diebstahl sensibler Daten führen.

Es zeigte sich, dass nach der Einbringung von Web-Shells häufig Tage vergingen, bevor weitere schädliche Aktivitäten stattfanden. Diese Verzögerungen lassen darauf schließen, dass die Angriffe möglicherweise durch Initial Access Brokers durchgeführt wurden, die den Zugang zu kompromittierten Servern an andere Kriminelle veräußerten.

Offene Hintertüren

Die Theorie von Access Brokers wird durch die Erkenntnisse von WatchTowr unterstützt, die glauben, dass Zugang zu den kompromittierten Systemen möglicherweise an Ransomware-Gruppen verkauft wurde. Ein besorgniserregendes Detail ist, dass die Angreifer scheinbar keine Authentifizierung für ihre Web-Shell implementiert haben.

„Der entscheidende Fehler besteht darin, dass diese Hintertüren nicht angemessen gesichert wurden. Jetzt werden Ransomware-Gruppen wahrscheinlich in der Lage sein, die Lücken selbst zu nutzen und die ursprünglichen Access Brokers zu umgehen“, bemerkte Harris.

Erkennung und Behebung der Schwachstelle

Unternehmen können testen, ob ihre Systeme angegriffen werden können, indem sie versuchen, den Endpunkt https://[your-sap-server]/developmentserver/metadatauploader ohne Authentifizierung zu erreichen. Ist der Server anfällig, sollten umgehend die Protokolle auf Hinweise für Ausnutzungen überprüft werden. RedRays empfiehlt, folgende Maßnahmen durchzuführen:

• Suche nach nicht autorisierten Zugriffen auf den Pfad /developmentserver/metadatauploader
• Überprüfung auf unerwartete Datei-Uploads in Webserver-Protokollen
• Untersuchung von ungewöhnlichen Ausführungsmustern und verdächtigen Prozessen
• Monitoring auf nicht autorisierte ausgehende Verbindungen von SAP-Systemen

Das Unternehmen hat außerdem Muster veröffentlicht, um in den Zugriffsprotokollen nach verdächtigen Aktivitäten zu suchen. Bis die Sicherheitsupdates implementiert sind, wird geraten, den Zugriff auf die Metadata Uploader-Komponente zu reduzieren.

Die Onapsis Research Labs haben ein Scanner-Tool veröffentlicht, das SAP-Kunden dabei unterstützen kann, ihre Systeme auf Anfälligkeiten für CVE-2025-31324 zu überprüfen. Dieses Open-Source-Tool ist unter der Apache 2.0 Lizenz verfügbar und wird kontinuierlich mit neuen Informationen aktualisiert.

Source
www.csoonline.com