Aktive Ausnutzung einer SAP-Zero-Day-Schwachstelle: Warnung

25. April 2025

Hinweis: Dies ist eine sich entwickelnde Kampagne, die derzeit aktiv analysiert wird. Wir werden diesen Blogbeitrag bei Bedarf um weitere Indikatoren, Tipps und Informationen ergänzen. Bitte setzen Sie ein Lesezeichen, um über Aktualisierungen informiert zu werden.

Zusammenfassung

Eine Zero-Day-Schwachstelle mit CVSS 10.0 wird derzeit aktiv ausgenutzt.
CVE-2025-31324 betrifft SAP Visual Composer und ermöglicht es nicht authentifizierten Angreifern, beliebige Dateien hochzuladen, was zu einer sofortigen vollständigen Kompromittierung des Zielsystems führt.
SAP Visual Composer ist standardmäßig nicht installiert, ist jedoch weit verbreitet, da es eine Kernkomponente war, die von Geschäftsprozessspezialisten zur Entwicklung von Geschäftsanwendungskomponenten ohne Programmierung verwendet wurde.
Hinweise auf aktive Ausnutzung wurden von Onapsis Threat Intelligence festgestellt und von mehreren IR-Firmen und Sicherheitsforschern gemeldet.
Der erste öffentliche Bericht erfolgte über einen öffentlichen Blog des Sicherheitsforschungsunternehmens ReliaQuest.
SAP hat einen Notfall-Patch für dieses Problem am 24. April 2025 um ca. 13:00 Uhr EST (US) veröffentlicht.
Das Patchen, die Abschwächung und – falls vorhanden – die Bewertung der Kompromittierung sollten oberste Priorität haben.

Die Sicherheitslücke

Betroffene Komponente: Die Sicherheitslücke besteht in der SAP Visual Composer-Komponente für SAP NetWeaver 7.xx (alle SPS), insbesondere im Teil „developmentserver“ der Anwendung. Diese Komponente ist Teil des SAP NetWeaver Java-Stacks. Sie ist zwar nicht standardmäßig installiert, aber aufgrund ihrer großen Nützlichkeit für Geschäftsprozessspezialisten bei der Entwicklung von Geschäftskomponenten ohne Programmierung in vielen bestehenden SAP NetWeaver Application Server Java-Systemen aktiviert.

Grundursache: Das grundlegende Problem ist eine unsachgemäße Authentifizierungs- und Autorisierungsprüfung in der Anwendung. Das bedeutet, dass der Metadata Uploader nicht geschützt ist, wenn ein nicht authentifizierter Benutzer einige seiner Funktionen nutzen möchte.

Art der Schwachstelle: Da die Schwachstelle darauf beruht, dass beim Zugriff auf bestimmte privilegierte Funktionen keine Authentifizierung erzwungen wird, kann die Art der Schwachstelle mit der CWE-ID CWE-862 „Fehlende Autorisierung“ oder CWE-306 „Fehlende Authentifizierung für kritische Funktionen“ in Verbindung gebracht werden.

Kritikalität: Die Schwachstelle wurde mit einem CVSS von 10 bewertet, da sie bei erfolgreicher Ausnutzung eine vollständige Kompromittierung des Systems ermöglicht.

Ausnutzungsmethode: Die Schwachstelle kann über HTTP/HTTPS, möglicherweise über das Internet, ausgenutzt werden. Angreifer zielen auf die URL /developmentserver/metadatauploader ab, indem sie sorgfältig gestaltete POST-Anfragen senden.

Authentifizierungsanforderungen: Zur Ausnutzung ist keine Authentifizierung erforderlich, sodass nicht authentifizierte Agenten oder nicht authentifizierte Bedrohungsakteure mit der anfälligen Komponente interagieren können.

Technische Auswirkungen: Die Ausnutzung ermöglicht das Hochladen beliebiger Dateien. Angreifer können potenziell schädliche Code-Dateien hochladen, meist Webshells. Beispiele für beobachtete Dateinamen sind „helper.jsp“ und „cache.jsp“.

Angriffsfläche: Obwohl die SAP Visual Composer-Komponente optional installiert werden kann, hat Onapsis festgestellt, dass diese Komponente in mindestens 50 % der Java-Systeme installiert und aktiviert ist, wobei die Untersuchung darauf hindeutet, dass der Prozentsatz sogar bei 70 % liegen könnte.

Ausnutzung und Auswirkungen auf Unternehmen

Es ist wichtig zu betonen, dass zum Zeitpunkt der Veröffentlichung kein öffentlich zugänglicher Exploit-Code veröffentlicht wurde. Beachten Sie jedoch, dass die aktive Ausnutzung dieser Schwachstelle weiterhin beobachtet wird. Onapsis Research Labs wird diese Ressource mit weiteren Anleitungen und zusätzlichen Informationen aktualisieren, sobald diese verfügbar sind.

Aktive Ausnutzung in freier Wildbahn

Im April 2025 erhielt Onapsis Research Labs Hinweise auf die aktive Ausnutzung dieser Zero-Day-Schwachstelle, die von Onapsis Threat Intelligence exklusiv entdeckt worden war. Onapsis beobachtete diese Aktivität bei SAP-Anwendungen mit Internetanbindung und wurde auch von SAP-Kunden kontaktiert, die ihre Erkenntnisse zu diesem Thema weitergaben. Gleichzeitig meldeten mehrere Incident-Response-Unternehmen und Sicherheitsforscher, dass sie eine aktive Ausnutzung beobachtet hatten.

Am 22. April 2025 veröffentlichte ReliaQuest seine Beobachtungen. Aufgrund der Tatsache, dass die Ausnutzung auf Systemen mit aktuellen Patches erfolgte, kam das Unternehmen zu dem Schluss, dass wahrscheinlich ein nicht gemeldetes RFI-Problem auf öffentlichen SAP NetWeaver-Servern ausgenutzt wurde.

Am 22. April 2025 bestätigte SAP das Problem und beschrieb das Symptom als „Unbekannte Dateien im SAP NetWeaver Java-Dateisystem gefunden“. Dieses Symptom wurde in SAP KBA 3593336 detailliert beschrieben. Das FAQ-Dokument (SAP-Hinweis 3596125, veröffentlicht am 24. April 2025) bestätigte, dass unbekannte Dateien wie „.jsp“, „.java“ oder „.class“ in bestimmten Pfaden wie …\irj\root, …\irj\work und …\irj\work\sync häufige Ziele sind und als bösartig angesehen werden sollten.

Am 24. April 2025 hat SAP die Sicherheitslücke offiziell als CVE-2025-31324 identifiziert und als „Fehlende Autorisierungsprüfung in SAP NetWeaver (Visual Composer-Entwicklungsserver)“ beschrieben. SAP hat bestätigt, dass die Ursache ein fehlerhafter Autorisierungscheck ist, der es einem nicht authentifizierten Agenten ermöglicht, potenziell schädliche ausführbare Binärdateien hochzuladen.

[In aktiver Entwicklung. Der Zeitplan wird weiterhin aktualisiert.]

Details zur Ausnutzung

Die Ausnutzung erfolgt über eine POST-Anfrage an die anfällige Komponente. Bei erfolgreicher Ausnutzung können Angreifer beliebige Dateien hochladen. Es wurde beobachtet, dass Angreifer Web-Shells auf anfällige Systeme hochladen. Diese Web-Shells ermöglichen es dem Angreifer, beliebige Befehle im Systemkontext mit den Berechtigungen des Betriebssystembenutzers <sid>adm auszuführen, wodurch er vollständigen Zugriff auf alle SAP-Ressourcen erhält.

POST /developmentserver/metadatauploader?CONTENTTYPE=MODEL&CLIENT=1 HTTP/1.1Host: <REDACTED>User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36Accept-Encoding: gzip, deflateAccept: */*Connection: closeContent-Type: xContent-Length: 714
<POST_BODY_REDACTED>

Beispiel für die Ausnutzung der Schwachstelle

Auswirkungen auf das Geschäft

Mit dem Zugriff auf <sid>adm erhält der Angreifer unbefugten Zugriff auf das zugrunde liegende SAP-Betriebssystem unter Verwendung der Benutzer- und Berechtigungsrechte der auf dem SAP-Anwendungsserver ausgeführten Prozesse. Dies bedeutet uneingeschränkten Zugriff auf alle SAP-Ressourcen, einschließlich der SAP-Systemdatenbank, und ermöglicht es ihm, verschiedene Aktionen durchzuführen (z. B. die SAP-Anwendung herunterzufahren oder Ransomware zu installieren).

Darüber hinaus kann das System als Einfallstor in ein Netzwerk dienen, über das der Angreifer von diesem ersten Einstiegspunkt aus auf andere interne Systeme zugreifen kann, wobei er sich die Vernetzung der SAP-Systeme zunutze macht.

Wie immer ist die Gefahr einer sofortigen vollständigen Kompromittierung ein ernstes Problem, das von Ihrem Team vorrangig behandelt werden sollte. Dies könnte zu böswilligen und unbefugten Geschäftsaktivitäten führen, die kritische SAP-Systeme beeinträchtigen, darunter unter anderem die Änderung von Finanzdaten, die Bereitstellung von Ransomware, das Einsehen personenbezogener Daten (PII), die Beschädigung von Geschäftsdaten sowie das Löschen oder Ändern von Protokollen, Spuren und andere Aktionen, die wichtige Geschäftsabläufe gefährden.

Darüber hinaus könnten für Unternehmen, die strengen regulatorischen Anforderungen unterliegen (z. B. USA: SEC-Vorschriften zur Cybersicherheit; EU: NIS2) oder Branchen-Compliance-Rahmenwerken (z. B. Sarbanes-Oxley, NERC) unterliegen, könnten die daraus resultierenden Mängel bei den IT-Kontrollen für solche regulatorischen oder Compliance-Vorgaben erheblich und weitreichend sein, einschließlich (aber wiederum nicht beschränkt auf) der Unternehmenshaftung für beschädigte oder geänderte Daten, die Exfiltration sensibler und/oder finanzieller Daten und die Offenlegung von PII.

Das Patchen von CVE-2025-31324, die Risikominderung, wenn ein Patch nicht möglich ist, und – im Falle einer Kompromittierung – die Bewertung des Schadens sollten oberste Priorität haben.

Bewertung der Gefährdung

Um festzustellen, ob Ihre Systeme gefährdet sind, müssen Sie die Komponenten des SAP-Systems für jedes einzelne Java-System auflisten. Wenn VISUAL COMPOSER FRAMEWORK oder VCFRAMEWORK als installiert aufgeführt ist, verfügt das System über die betreffende Komponente.

Der folgende Screenshot zeigt die Auflistung der Komponenten, gefiltert nach der betroffenen Komponente VCFRAMEWORK. Diese finden Sie auf der Startseite des SAP NetWeaver Application Server Java → Systeminformationen → Komponenteninfo (Registerkarte).

Abbildung 1: Beispiel für eine anfällige Komponentenversion.

Anschließend müssen Sie manuell überprüfen, ob der Patch aus dem SAP-Sicherheitshinweis Nr. 3594142 angewendet oder eine der Abhilfemaßnahmen aus der SAP-KB Nr. 3593336 implementiert wurde. Onapsis-Kunden finden im Abschnitt „Onapsis-Plattformabdeckung“ dieses Artikels Informationen dazu, wie diese Überprüfung automatisch für Ihre gesamte Landschaft durchgeführt werden kann.

Indikatoren für Kompromittierung

SAP hat in SAP-Hinweis Nr. 3596125 Leitlinien zur Feststellung bereitgestellt, ob Systeme bereits kompromittiert wurden. Dieser Hinweis enthält detaillierte Informationen zu den folgenden Schritten:

Check the root of the following OS directories for the presence of ‘jsp’, ‘java’, or ‘class’ files.

C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\root
C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work
C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work\sync

Das Vorhandensein dieser Dateien ist ein Hinweis darauf, dass ein Angreifer die Schwachstelle ausgenutzt hat, um beliebige Dateien hochzuladen. Das System sollte als kompromittiert betrachtet werden und der entsprechende Plan zur Reaktion auf Vorfälle sollte befolgt werden.

Die folgende Abbildung veranschaulicht eine mögliche Überprüfung einer bestimmten SAP-Anwendung:

[root@sapserver irj]# pwd/usr/sap/<SID>/<INSTANCE>/j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj[root@sapserver irj]# find . -type f -name “*.jsp” -ls[root@sapserver irj]# find . -type f -name “*.java” -ls[root@sapserver irj]# find . -type f -name “*.class” -ls

Beobachtete Taktiken

Die Onapsis Research Labs haben verschiedene Taktiken beobachtet, die dem MITRE ATT&CK Framework zugeordnet wurden:

T1190 (Exploit Public-Facing Application)
T1505.003 (Server Software Component: Web Shell)

Darüber hinaus stellte das ReliaQuest-Forschungsteam die folgenden IOCs zur Verfügung, um SAP-Anwendungen zu durchsuchen:

Helper.jsp webshell: 1f72bd2643995fab4ecf7150b6367fa1b3fab17afd2abed30a98f075e4913087
Cache.jsp webshell: 794cb0a92f51e1387a6b316b8b5ff83d33a51ecf9bf7cc8e88a619ecb64f1dcf
Any files with .jsp, .class or .java extensions within the following directories should be considered malicious
- /usr/sap/<SID>/<InstanceID>/j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root
- /usr/sap/<SID>/<InstanceID>/j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/work
- /usr/sap/<SID>/<InstanceID>/j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/work/sync

Abhilfemaßnahmen

SAP hat die folgenden Hinweise veröffentlicht, um Kunden dabei zu helfen, sich vor dieser aktiven Bedrohung zu schützen:

SAP-Sicherheitshinweis Nr. 3594142 – Enthält Hotfix-Support-Pakete zum Patchen der Sicherheitslücke. Verweist außerdem auf den SAP-Hinweis Nr. 3596125 und erste manuelle Maßnahmen zum Erkennen von Hinweisen auf eine frühere Gefährdung.
SAP-Hinweis Nr. 3596125 – FAQ zum Sicherheitshinweis Nr. 3594142. Bitte beachten Sie, dass dieses Dokument weiterentwickelt wird und SAP diese FAQ und Anleitungen kontinuierlich aktualisiert und erweitert.
SAP-Hinweis Nr. 3593336 – Enthält Workaround-Schritte für Kunden, die den Patch nicht anwenden können.

Abdeckung durch die Onapsis-Plattform

Onapsis hat am 24. April 2025, dem Tag der Veröffentlichung des Notfall-Patches von SAP, umfassenden Support für diese Schwachstelle veröffentlicht.

Onapsis Assess unterstützt die Identifizierung aller SAP-Systeme mit der anfälligen Komponente.
Onapsis Defend überwacht POST-Anfragen an eine nicht gepatchte SAP Visual Composer-Komponente und gibt Warnmeldungen aus.
Es wurde ein Threat Intel Center-Artikel veröffentlicht, der sowohl Details zur Schwachstelle und ihrer Ausnutzung enthält als auch eine zentrale Stelle bietet, an der alle anfälligen Systeme und alle Versuche, mit der anfälligen Komponente zu interagieren, angezeigt werden.

Kunden von Onapsis Assess können einen Bewertungsscan für ihre gesamte Landschaft durchführen, um Systeme zu identifizieren, auf denen die anfällige Komponente installiert und nicht gepatcht ist und für die keine Workaround/Abhilfemaßnahmen angewendet wurden. Durch kontinuierliche automatische Scans können Sie Ihre Fortschritte bei der Behebung der Schwachstellen und der Beseitigung des Risikos einer Kompromittierung Ihrer Umgebung verfolgen.

Während die Behebungsarbeiten laufen, werden Onapsis Defend-Kunden automatisch über Interaktionen mit der anfälligen Komponente informiert. Aufgrund der reduzierten Detailgenauigkeit der POST-Anfragen in der SAP-Systemprotokollierung kann Defend das Vorhandensein einer Webshell oder anderer Payloads in der POST-Anfrage selbst nicht erkennen, aber es kann eine Warnung ausgeben, wenn eine POST-Anfrage an eine anfällige SAP Visual Composer-Komponente gestellt wird.

Am 25. April 2025 bot Onapsis zwei Live-Briefings mit Details zur Schwachstelle, zur aktiven Ausnutzung und zu Maßnahmen zur Risikominderung an. Eine dritte Sitzung ist für den 29. April 2025 geplant.

Laufende Hinweise werden weiterhin für unsere Kunden in der Onapsis SAP Defenders Community veröffentlicht. Diese Hinweise werden aktualisiert, sobald neue Informationen zu dieser Bedrohung und ihren Auswirkungen bekannt werden. Die Onapsis SAP Defenders Community bietet Onapsis-Kunden ein Forum, in dem sie aktuelle Bedrohungsinformationen erhalten, Zugang zu exklusiven Ressourcen erhalten, direkt mit Onapsis-Experten interagieren und mit anderen SAP-Sicherheitsexperten zusammenarbeiten können.

Sonderunterstützung für SAP-Kunden

Um qualifizierte SAP-Kunden zu unterstützen, die Untersuchungen, die Beseitigung von Bedrohungen und zusätzliche Sicherheitsüberwachung nach einem Angriff benötigen, bietet Onapsis eine kostenlose Bewertung und ein dreimonatiges kostenloses Abonnement für die Onapsis-Plattform an. Weitere Informationen erhalten Sie unter rapidresponse@onapsis.com.