CVE-2025-31324: Eine aktiv ausgenutzte Schwachstelle in SAP NetWeaver Visual Composer

CVE-2025-31324 (CVSS 9.8), veröffentlicht am 24. April 2025, ermöglicht es nicht authentifizierten Angreifern, über die Komponente NetWeaver Visual Composer ausführbare Dateien [CWE-434] hochzuladen, was zu einer Remote Code Execution (RCE) führen kann. Die CVE stellt ein hohes Risiko dar. Es sind zahlreiche öffentlich zugängliche Proof-of-Concept-Exploits (PoC) [1][2][3][4][5] verfügbar, und mehrere Cybersecurity-Organisationen haben vor aktiven Angriffskampagnen gewarnt [6][7][8]. Obwohl CVE-2025-31324 ursprünglich als Zero-Day-Schwachstelle ausgenutzt wurde (vor der öffentlichen Bekanntgabe), enthält der Greenbone Enterprise Feed nun einen Erkennungstest, mit dem Unternehmen anfällige Instanzen von SAP NetWeaver in ihrer Umgebung identifizieren und Abhilfemaßnahmen ergreifen können.

In der Vergangenheit wurden kritische Sicherheitslücken in SAP NetWeaver wie CVE-2020-6287 (auch bekannt als RECON) von Initial Access Brokern (IAB) ausgenutzt, die dann den unbefugten Zugriff an Ransomware-Betreiber verkauften. Sehen wir uns die Umstände von CVE-2025-31324 genauer an.

Was ist SAP NetWeaver?

SAP NetWeaver ist als Software-Framework innerhalb der SAP-Suite für Unternehmen kategorisiert. Es dient als grundlegende Integrations- und Anwendungsplattform für verschiedene SAP-Lösungen, darunter SAP Enterprise Resource Planning (ERP), Customer Relationship Management (CRM), Supply Chain Management (SCM) und andere Geschäftsprozesse. SAP NetWeaver unterstützt eine Vielzahl von Anwendungsfällen, darunter die Ausführung der SAP ERP Central Component (ECC), die Entwicklung und Bereitstellung kundenspezifischer Anwendungen mit ABAP (der proprietären Programmiersprache von SAP) oder Java, die Integration von Geschäftsprozessen und Datenbanken aus SAP- und Nicht-SAP-Systemen sowie die Integration verteilter Dienste über Web-Services oder Remote Function Calls (RFCs).

Obwohl SAP NetWeaver mit rund 8.471 Unternehmen, die die Plattform nutzen, nur einen winzigen Bruchteil der globalen Software-Frameworks-Kategorie ausmacht, handelt es sich dabei um namhafte Unternehmen wie Accenture, Baker Hughes, Jabil, Rockwell Automation und Wolters Kluwer. 41 % der SAP NetWeaver-Kunden haben ihren Sitz in den Vereinigten Staaten, gefolgt von 7 % in Indien und 6 % in Deutschland. Zu den Wettbewerbern von SAP NetWeaver zählen Oracle Fusion Middleware, MuleSoft Anypoint Platform und IBM WebSphere.

Sicherheitslücken in SAP NetWeaver: Beliebte Ransomware-Ziele

CVE-2020-6287 (CVSS 10), bekannt als RECON, ist eine weitere hochrangige Sicherheitslücke in SAP NetWeaver, die 2020 bekannt wurde und von Ransomware-Akteuren aktiv ausgenutzt wurde. Nach der öffentlichen Bekanntgabe der RECON-Sicherheitslücke im Juli 2020 entwickelten und verbreiteten Angreifer rasch Exploit-Tools. Innerhalb eines Tages war ein PoC-Exploit verfügbar, und kurz darauf begannen massenhafte Scan-Aktivitäten. Berichten zufolge nutzten Initial Access Broker zunächst RECON aus und verkauften dann den Zugriff an Ransomware-Betreiber und Spione, was zur Insolvenz mindestens eines US-Unternehmens führte.

CVE-2025-31324: Technische Beschreibung

CVE-2025-31324 betrifft den Application Layer, insbesondere den Java-Stack von SAP NetWeaver innerhalb der Visual Composer-Entwicklungsumgebung. Die Ausnutzung von CVE-2025-31324 folgt einem typischen Angriffsmuster für Schwachstellen für nicht authentifiziertem Datei-Upload [CWE-434], um RCE zu erlangen: dem Hochladen einer Webshell. Angreifer wurden bereits beobachtet, wie sie nach SAP NetWeaver Java-Instanzen suchen, um das Vorhandensein des URL-Ziels /developmentserver/metadatauploader zu identifizieren. Wenn dieser gefunden wird, wird eine speziell gestaltete POST-Anfrage verwendet, um schädliche ausführbare Dateien (z. B. .jsp-Webshells) hochzuladen. Sobald die Webshell hochgeladen wurde, können Angreifer direkt über einen Webbrowser darauf zugreifen und beliebige Befehle auf dem System des Opfers mit den Berechtigungen des Betriebssystembenutzers <sid>adm ausführen.

Dies ermöglicht den Zugriff auf die zugrunde liegende Datenbank. Angreifer können die Geschäftslogik ändern und möglicherweise auf andere interne Systeme zugreifen, Ransomware einsetzen, Finanzdaten stehlen oder verändern oder sensible Geschäftsdaten herausfiltern. Aus den analysierten Angriffskampagnen geht außerdem hervor, dass Angreifer „Living off the Land“-Techniken (unter Verwendung nativer Betriebssystemfunktionen) einsetzen, um sich dauerhaften Zugriff zu verschaffen, ohne dass die hochgeladene Webshell erforderlich ist.

Wie Sie CVE-2025-31324 in SAP NetWeaver entschärfen

SAP hat in einer Ankündigung zum Sicherheitspatch vom April 2025 nur einen kurzen Hinweis auf CVE-2025-31324 gegeben. Der Hersteller folgt einem Standard-Patch-Zyklus für die Veröffentlichung von Updates, ähnlich dem monatlichen „Patch Tuesday“ von Microsoft. Um CVE-2025-31324 zu beheben, stellen Sie sicher, dass Ihr SAP NetWeaver-System auf das neueste Support-Paket aktualisiert ist. Wenn der Sicherheitspatch nicht sofort angewendet werden kann, sollten Sie die Visual Composer-Komponente vorübergehend deaktivieren, um eine Ausnutzung zu verhindern, bis die Updates installiert werden können.

Idealerweise sollten NetWeaver-Instanzen nicht direkt im öffentlichen Internet verfügbar sein. Dies birgt erhebliche Sicherheitsrisiken, darunter die Gefährdung durch RCE-Schwachstellen, die Umgehung der Authentifizierung und den unbefugten Datenzugriff. Zur Unterstützung von Remote-Arbeit, ausgelagerten Vorgängen oder Cloud-gehosteten Instanzen sollten angemessene Sicherheitsgateways konfiguriert werden, z. B. ein gesicherter Reverse-Proxy, VPN oder WAF-Kontrollen.

Es ist auch wichtig, nach Anzeichen für eine Kompromittierung (Indicators of Compromise, IoC) zu suchen, um sicherzustellen, dass Angreifer keine anfälligen NetWeaver-Instanzen bereits ausgenutzt haben. Forscher haben Webshells beobachtet, die Dateinamen wie „helper.jsp“, „cache.jsp“ oder andere zufällige Dateinamen verwenden. Weitere Maßnahmen zur Erkennung von Infektionen umfassen das Scannen von Systemen auf Malware oder andere unerwartete Dateien, die Analyse von Zugriffsprotokollen auf verdächtige POST-Anfragen an /developmentserver/metadatauploader und die Überprüfung von Verzeichnissen wie /irj/root, /irj/work und /irj/work/sync auf nicht autorisierte .jsp-, .java- oder .class-Dateien. Scannen Sie außerdem nach anderen IoCs, die mit der Aufrechterhaltung der Persistenz in Bezug auf Ihr SAP-Serverbetriebssystem (OS) zusammenhängen.

Zusammenfassung

CVE-2025-31324 ist eine kritische Sicherheitslücke in der Visual Composer-Komponente von SAP NetWeaver, die unauthentifizierte RCE über beliebige Datei-Uploads ermöglicht. Die Schwachstelle wurde als Zero-Day-Exploit ausgenutzt und in Angriffen verwendet, bei denen zunächst NetWeaver-Instanzen mit einer Webshell infiziert wurden, um anschließend das gesamte System zu kompromittieren, einschließlich lateraler Bewegungen innerhalb von Unternehmensnetzwerken

Unternehmen, die SAP NetWeaver verwenden, werden dringend aufgefordert, den Notfall-Patch von SAP zu installieren oder die Visual Composer-Komponente zu deaktivieren und ihre Systeme auf Anzeichen einer Kompromittierung zu überprüfen, um bestehende Kompromittierungen zu identifizieren und infizierte Systeme wiederherzustellen. Der Greenbone Enterprise Feed enthält einen Erkennungstest, mit dem Unternehmen anfällige Instanzen von SAP NetWeaver in ihrer Umgebung identifizieren und Abhilfemaßnahmen ergreifen können.