Neuer Exploit für kritische SAP-Sicherheitslücke CVE-2025-31324 veröffentlicht

WICHTIGER HINWEIS: Es handelt sich hierbei nicht um eine neue SAP-Sicherheitslücke, sondern um einen neuen (und öffentlichen) Exploit für ein bekanntes Problem. Wenn Sie dieses Problem bereits bewertet haben (Überprüfung der Kompromittierungsindikatoren) und die SAP-Sicherheitshinweise 3594142 und 3604119 angewendet haben, sind Sie nicht anfällig für Angriffe mit diesem neuen Exploit. In diesem Fall sind keine sofortigen Maßnahmen erforderlich, wir empfehlen jedoch dringend, die folgenden Schritte sowie die anderen damit verbundenen Schwachstellen und Sicherheitshinweise zu überprüfen.

• Ein Exploit, der auf CVE-2025-31324 und CVE-2025-42999 abzielt, wurde am 15. August 2025 von VX Underground veröffentlicht.
• Dieser Exploit wurde angeblich von „Scattered LAPSUS$ Hunters – ShinyHunters” in einer Telegram-Gruppe veröffentlicht.
• Alle diese Schwachstellen wurden bereits im April und Mai von SAP umgehend gepatcht. Es ist daher von entscheidender Bedeutung, dass Unternehmen ihre SAP-Systeme auf dem neuesten Stand halten, um zukünftige Exploit-Versuche zu verhindern.
• Der Exploit könnte in anderen Kontexten wiederverwendet werden, in denen Deserialisierungslücken in SAP-Komponenten bestehen.
• Onapsis-Kunden verfügen über eine umfassende produktinterne Abdeckung für diese Schwachstellen.
• Open-Source-Scanner sind von Onapsis und Mandiant erhältlich, um SAP-Umgebungen zu analysieren und bekannte Kompromittierungsindikatoren für CVE-2025-31324 und CVE-2025-42999 zu identifizieren.

Am 15. August veröffentlichte VX Underground auf X (ehemals Twitter) einen funktionierenden und als Waffe einsetzbaren Exploit für die kritische SAP-Sicherheitslücke CVE-2025-31324. Dieser Exploit wurde angeblich von „Scattered LAPSUS$ Hunters – ShinyHunters” in einer Telegram-Gruppe veröffentlicht. Diese Schwachstelle wurde kürzlich von mehreren hochentwickelten Hackergruppen als Zero-Day-Exploit ausgenutzt und später von SAP in der Sicherheitshinweis 3594142 für CVE-2025-31324 und Sicherheitshinweis 3604119 für CVE-2025-42999

Es ist typisch, dass nach der Veröffentlichung von Exploit-Code weitere Angriffswellen folgen. SAP-Kunden sollten daher besonders wachsam sein und sicherstellen, dass ihre Sicherheitsmaßnahmen und Patches auf dem neuesten Stand sind.

Die ursprüngliche Bedrohung: CVE-2025-31324

Die ursprünglichen Schwachstellen, die unter der Nummer CVE-2025-31324 erfasst und in Kombination mit CVE-2025-42999 ausgenutzt wurden, sind eine Kombination aus zwei kritischen Fehlern in SAP NetWeaver Visual Composer mit einem CVSS-Wert von 10,0, der höchstmöglichen Schweregradbewertung.

Diese Schwachstellen ermöglichen es einem nicht authentifizierten Angreifer, beliebige Befehle auf dem Ziel-SAP-System auszuführen, einschließlich des Hochladens beliebiger Dateien. Dies kann zu einer Remote-Code-Ausführung (RCE) und einer vollständigen Übernahme des betroffenen Systems sowie der SAP-Geschäftsdaten und -Prozesse führen. Die Schwachstelle wurde aktiv ausgenutzt und stellt somit eine klare und unmittelbare Gefahr für Unternehmen mit ungepatchten SAP-Systemen dar. Onapsis veröffentlicht seit April 2025 alle Informationen zu diesen kritischen Schwachstellen, einschließlich Open-Source-Scannern und Kompromittierungsindikatoren, in unserem Blog CVE-2025-31324 SAP Zero-Day-Schwachstelle | Vollständiger Bedrohungsbericht.

Das Deserialisierungs-Gadget

Der neu bekannt gewordene Exploit, auf den die Cybersicherheits-Community aufmerksam gemacht hat, ist nicht nur ein einfacher Proof-of-Concept für die Schwachstelle beim Datei-Upload. Er verknüpft CVE-2025-31324 geschickt mit einer Deserialisierungs-Schwachstelle, die nun als CVE-2025-42999 identifiziert wurde und von Onapsis Research Labs an SAP gemeldet wurde, nachdem sie über unser globales SAP Threat Intelligence Network als aktiv ausgenutzt erkannt wurde.

Dieser Exploit bestätigt erneut, dass diese Schwachstellen nicht nur zum Bereitstellen von Webshells genutzt werden können, sondern auch zum „Live-off-the-Land“, indem Betriebssystembefehle direkt ausgeführt werden, ohne dass Artefakte auf dem Zielsystem bereitgestellt werden müssen. Diese Befehle werden mit SAP-Administratorrechten (adm) ausgeführt, was zu vollständigem Zugriff auf SAP-Daten und Systemressourcen führt.

Im Wesentlichen nutzen die Angreifer zunächst die fehlende Authentifizierungsschwachstelle (CVE-2025-31324), um ohne Authentifizierung auf die kritischen Funktionen zuzugreifen und ihre schädliche Nutzlast auf den Server zu bringen. Anschließend nutzen sie die Deserialisierungslücke (CVE-2025-42999), um die schädliche Payload zu deserialisieren und den Code mit den Berechtigungen des SAP-Systems auszuführen. Diese Doppelattacke ermöglicht einen verheerenden Angriff, der von einem nicht authentifizierten Angreifer initiiert werden kann.

Die Veröffentlichung dieses Deserialisierungs-Gadgets ist besonders besorgniserregend, da es in anderen Kontexten wiederverwendet werden kann, beispielsweise zum Ausnutzen der Deserialisierungs-Schwachstellen, die kürzlich im Juli von SAP gepatcht wurden und von Onapsis entdeckt und gemeldet wurden (Juli 2025 SAP Patch Day: Rekordzahl an Patches und kritische Deserialisierungs-Schwachstellen):

• SAP-Sicherheitshinweis 3578900 für CVE-2025-30012 (CVSS 10)
• SAP-Sicherheitshinweis 3620498 für CVE-2025-42980 (CVSS 9.1)
• SAP-Sicherheitshinweis 3610892 für CVE-2025-42966 (CVSS 9.1)
• SAP-Sicherheitshinweis 3621771 für CVE-2025-42963 (CVSS 9.1)
• SAP-Sicherheitshinweis 3621236 für CVE-2025-42964 (CVSS 9.1)

Dies eröffnet potenziell neue Angriffsvektoren in anderen Bereichen von SAP-Anwendungen. Es handelt sich um ein leistungsstarkes Werkzeug im Arsenal von Angreifern, und seine Veröffentlichung ist ein bedeutendes Ereignis. Unternehmen sollten sicherstellen, dass diese SAP-Sicherheitslücken auch in ihren Umgebungen umgehend gepatcht wurden.

Fundierte Kenntnisse von SAP

Dieser kürzlich veröffentlichte Exploit beweist, dass die Angreifer über fundierte Kenntnisse der SAP-Anwendungen verfügen. Dies zeigt sich in der Verwendung spezifischer benutzerdefinierter SAP-Klassen als wichtige Bausteine des Gadgets, wie z. B. com.sap.sdo.api.* oder com.sap.sdo.impl.*, oder in der Anpassung der Payload an die SAP NetWeaver-Version:

elif “local class serialVersionUID =
-7308740002576184038″ in response.text:
print(“[+] Found version 7.5”)
newContent =
newContent.replace(b”\xF4\x51\xDC\xAA\x00\xB6\xF0\xCC”,
b”\x9A\x92\x23\xB0\xE6\xC2\x4D\x1A”)

Was Sie heute tun müssen

Die frühere aktive Ausnutzung durch ursprüngliche, hochentwickelte Angreifer in Verbindung mit dem nun öffentlich verfügbaren Exploit und Deserialisierungs-Gadget macht es für gefährdete Unternehmen unerlässlich, sofort Maßnahmen zu ergreifen. Die potenziellen Folgen einer erfolgreichen Ausnutzung sind schwerwiegend und können Folgendes umfassen:

• Vollständige Kompromittierung des Systems
• Diebstahl sensibler Unternehmens- und Kundendaten
• Störung kritischer Geschäftsabläufe
• Finanzielle, reputationsbezogene und regulatorische Auswirkungen

Um diese Bedrohung zu mindern, sollten Unternehmen Folgendes tun:

1. Installieren Sie die neuesten Sicherheitspatches von SAP. Beheben Sie insbesondere die Sicherheitslücken, die in den folgenden SAP-Sicherheitshinweisen behandelt werden:
2. a. 3594142 (für CVE-2025-31324) (CVSS 10)
3. b. 3604119 (für CVE-2025-42999) (CVSS 9.1)
4. c. 3578900 (für CVE-2025-30012) (CVSS 10)
5. d. 3620498 (für CVE-2025-42980) (CVSS 9.1)
6. e. 3610892 (für CVE-2025-42966) (CVSS 9.1)
7. f. 3621771 (für CVE-2025-42963) (CVSS 9.1)
8. g. 3621236 (für CVE-2025-42964) (CVSS 9.1)
9. Überprüfen und beschränken Sie den Zugriff auf SAP-Anwendungen, insbesondere aus dem Internet.
10. Überwachen Sie SAP-Anwendungen auf Anzeichen einer Kompromittierung, wie unerwartete Datei-Uploads oder ungewöhnliche Prozesse.

Die Offenlegung dieses neuen Exploits ist eine deutliche Erinnerung daran, dass die Bedrohungslage sich ständig weiterentwickelt. Sie unterstreicht die Bedeutung einer proaktiven und wachsamen Sicherheitsstrategie, insbesondere im Zusammenhang mit geschäftskritischen Anwendungen wie SAP.

Produktabdeckung von Onapsis

Onapsis hat in Assess and Defend umfassenden Support für ALLE der oben genannten Schwachstellen veröffentlicht. Für die ursprüngliche Schwachstelle (CVE-2025-31324), die in der Angriffskampagne ausgenutzt und am 24. April 2025 gepatcht wurde, wurde die Onapsis-Plattform innerhalb weniger Stunden nach Meldung des Angriffs aktualisiert. Dieser Support umfasste die Möglichkeit, anfällige Systeme zu identifizieren, Versuche zum Missbrauch eines noch anfälligen Systems zu überwachen und einen Artikel im Threat Intel Center, der alle Informationen und Daten zu dieser sich entwickelnden Bedrohung an einem zentralen Ort bereitstellt. Der Onapsis-Produktsupport für die ursprünglichen Angriffe und Sicherheitshinweise bietet korrekten Schutz für den in diesem Blog beschriebenen neu veröffentlichten Exploit.

Onapsis-Kunden können ihre gesamte Landschaft einer Bewertungsscan unterziehen, um Systeme mit installierten und nicht gepatchten anfälligen Komponenten zu identifizieren, einschließlich solcher, auf denen Ihre Teams keine SAP-Workarounds angewendet haben. Durch kontinuierliche automatische Scans können Sie Ihre Fortschritte bei der Behebung der Schwachstellen und der Beseitigung des Kompromittierungsrisikos in Ihrer Umgebung verfolgen. Zusätzliche Assess-Module überprüfen Java-Systeme auf IoCs im Zusammenhang mit den Schwachstellen.

Kunden von Onapsis Defend können Interaktionen mit der anfälligen Komponente automatisch überwachen und Warnmeldungen ausgeben, wenn POST-, GET- und HEAD-Anfragen an eine anfällige SAP Visual Composer-Komponente gestellt werden. Eine zusätzliche Defend-Regel kann bei Zugriff auf bekannte Webshells in Ihrer SAP-Umgebung eine Warnmeldung ausgeben.

Onapsis hat in Zusammenarbeit mit Mandiant auch Open-Source-Scanner für CVE-2025-31324 und CVE-2025-42999 veröffentlicht. Weitere Informationen und die Scanner zum Herunterladen finden Sie auf der Onapsis GitHub-Seite.

Ausführliche Informationen zu unserem vollständigen Produktumfang sowie einen tieferen Einblick in die Angriffskampagne gegen CVE-2025-31324 und CVE-2025-42999 finden Sie in unserem vorherigen Blogbeitrag.

Quelle: Onapsis-Blog

Hier gibt’s noch mehr dazu

---