Kritische SAP-Sicherheitslücke: Onapsis und Mandiant veröffentlichen Open-Source-Tool zur Angriffserkennung

3. Mai 2025

In Zusammenarbeit mit Mandiant hat das Sicherheitsunternehmen Onapsis ein Open-Source-Tool bereitgestellt, das Unternehmen bei der Identifikation von Indikatoren für Kompromittierung (Indicators of Compromise, IoCs) unterstützt. Das Tool fokussiert sich auf Anzeichen, die auf die aktive Ausnutzung der kürzlich geschlossenen Schwachstelle CVE-2025-31324 im SAP NetWeaver Application Server Java hindeuten.

Die Schwachstelle betrifft die Visual Composer-Komponente und wird als kritisch eingestuft. Sie ermöglicht es Angreifern, ohne vorherige Authentifizierung vollständigen Zugriff auf betroffene SAP-Systeme zu erlangen – ein erhebliches Risiko für Unternehmen, die SAP NetWeaver im produktiven Einsatz haben.

Onapsis und Mandiant unterstützen derzeit mehrere weltweit agierende Organisationen bei der Analyse und Reaktion auf Sicherheitsvorfälle im Zusammenhang mit dieser Verwundbarkeit. Das veröffentlichte Tool soll dabei helfen, kompromittierte Systeme schneller zu identifizieren und entsprechende Gegenmaßnahmen einzuleiten.

Übersicht zu CVE-2025-31324

Diese Schwachstelle betrifft SAP NetWeaver Java-Systeme, auf denen die Entwicklungsumgebung Visual Composer aktiviert und nicht gepatcht ist. Eine erfolgreiche Ausnutzung verschafft Angreifern vollständige Kontrolle über das System, einschließlich uneingeschränktem Zugriff auf sensible Geschäftsdaten und -prozesse von SAP, der Bereitstellung von Ransomware und lateraler Bewegung. Die erste von Onapsis beobachtete Ausnutzung geht auf den 14. März 2025 zurück, und seit der Veröffentlichung des Notfall-Patches durch SAP am 24. April 2025 hat die Aktivität deutlich zugenommen.

Aufgrund der kritischen Natur des Problems und der weit verbreiteten Ausnutzung wird Kunden mit anfälligen SAP-Anwendungen mit Internetanbindung dringend empfohlen, nicht nur Patches zu installieren, sondern auch ihre Umgebungen auf Kompromittierung zu überprüfen.

Weitere Informationen zu diesem Problem finden Sie in der Bedrohungsanalyse von Onapsis zu CVE-2025-31324.

Über den Scanner

Der von Onapsis in Zusammenarbeit mit Mandiant entwickelte Open-Source-Scanner soll SAP-Kunden dabei helfen

• zu erkennen, ob das System für CVE-2025-31324 anfällig ist
• bekannte Indikatoren für Kompromittierung (IOCs) im Zusammenhang mit verfügbaren Kampagneninformationen zu identifizieren
• nach unbekannten webbasierten ausführbaren Dateien in bekannten Exploit-Pfaden zu suchen
• verdächtige Dateien in einem strukturierten ZIP-Archiv mit einem Manifest für die spätere Analyse zu sammeln

Bitte beachten Sie, dass es sich um eine aktive Kampagne handelt und wir dieses Tool weiterhin aktualisieren werden, sobald weitere IoCs und Informationen verfügbar werden. Überprüfen Sie regelmäßig, ob Updates verfügbar sind.

Laden Sie den Scanner auf GitHub herunter.

LIZENZ UND RECHTLICHER HINWEIS: Dieses Tool wird unter der Apache 2.0 Open Source-Lizenz veröffentlicht. Dieses Tool wird ohne Mängelgewähr und ohne Gewährleistung oder Haftung bereitgestellt.

TECHNISCHER HAFTUNGSAUSSCHLUSS: Dieses Tool automatisiert die Überprüfung von Schwachstellen und IOC-Informationen, die in einem Live-Betriebssystem mit den Berechtigungen des Benutzers ausgeführt werden, der das Skript ausführt. Es ist KEIN Ersatz für forensische Analysen oder erweiterte Maßnahmen zur Reaktion auf Vorfälle. Erfahrene Angreifer beseitigen häufig Spuren ihres Eindringens, während sie Rootkits einsetzen und Techniken zur Umgehung der Erkennung nutzen.

Live-Briefing zu Bedrohungen am 7. Mai 2025

Onapsis und Mandiant veranstalten am Mittwoch, dem 7. Mai 2025, um 10 Uhr EST/16 Uhr MESZ ein Live-Briefing zu Bedrohungen mit folgenden Inhalten:

• Ein detaillierter Einblick in CVE-2025-31324 und dessen Ausnutzung in der Praxis
• Erkennungs- und Reaktionsstrategien
• Live-Demonstration des IoC-Scanners
• Fragen und Antworten mit den Bedrohungsexperten von Onapsis und Mandiant

Registrieren Sie sich für das Webinar hier.

Abschließende Empfehlungen

• Wenden Sie SAP-Hinweis 3594142 sofort an.
• Führen Sie den IoC-Scanner aus, um Anzeichen einer Kompromittierung zu identifizieren.
• Leiten Sie Ihre SAP-spezifischen Playbooks zur Reaktion auf Vorfälle ein.

Die Veröffentlichung dieses Tools ist Teil der Bemühungen von Onapsis und Mandiant, Verteidiger bei kritischen Bedrohungen zu unterstützen. Weitere Informationen zu CVE-2025-31324 und aktualisierte Bedrohungsinformationen finden Sie im Blog der Onapsis Research Labs.

---

Bild/Quelle: https://depositphotos.com/de/home.html