SAP-NetWeaver-Sicherheitslücke ermöglicht Angreifern Control vollständige Control: CVE-2025-31324 und CVE-2025-42999 im Detail

Die Onapsis Research Labs haben über unser SAP Threat Intelligence echte Exploit-Beispiele erfasst und analysiert, wodurch wir Zero-Day-Angriffe rekonstruieren konnten, die eine vollständige Remote-Befehlsausführung (RCE) zeigen. Die öffentlich diskutierten Artefakte (d. h. die Webshells) stehen für das feindliche Verhalten im Rahmen der umfassenderen Angriffskampagne. RCE-Befehle scheinen jedoch in der Erkundungsphase eingesetzt worden zu sein, woraufhin Webshells über RCE bereitgestellt wurden. Der beobachtete Exploit zeugt von hochgradig fortgeschrittenen SAP-Kenntnissen der verantwortlichen Angreifergruppe. Basierend auf der von Onapsis beobachteten Payload sind „Living-off-the-land“-Kompromittierungen und Persistenz ohne Webshells möglich, weshalb Verteidiger ihre IR-Playbooks entsprechend anpassen sollten. Die Untersuchung ist weiterhin aktiv und entwickelt sich weiter, und ORL arbeitet sehr eng mit den SAP-Sicherheitsteams zusammen. Am 13. Mai 2025 veröffentlichte SAP einen neuen Sicherheitshinweis 3604119 (für CVE-2025-42999), die auf neuen forensischen Informationen der Onapsis Research Labs basiert und das zugrunde liegende Risiko in der Visual Composer-Komponente behebt. Onapsis und SAP empfehlen allen SAP-Kunden, sicherzustellen, dass sie diese am 13. Mai 2025 veröffentlichte SAP-Sicherheitsnotiz 3604119 angewendet haben.

Onapsis Research Labswird weiterhin Bedrohungsaktivitäten im Zusammenhang mit CVE-2025-31324 und CVE-2025-42999 und wird diesen Blogbeitrag bei Bedarf um weitere Details ergänzen. Bitte setzen Sie ein Lesezeichen, um über Aktualisierungen informiert zu bleiben. Für diejenigen, die eines unserer threat intelligence zu threat intelligence über CVE-2025-31324 und den SAP-Sicherheitshinweis 3594142 verpasst haben, haben wir ein gemeinsames Briefing mit Mandiant (Teil von Google Cloud) , das am 7. Mai 2025 stattfand und aktuelle Informationen auf der Grundlage laufender Analysen und forensischer Untersuchungen enthielt.

Eine umfassende technische Analyse der Exploit-Mechanismen und der Abhilfemaßnahmen finden Sie in unserem technischen Rückblick auf den SAP-NetWeaver-Zero-Day-
. Alternativ können Sie sich auch Folge 1 unserer Doku-Serie „Hacking & Defending SAP Applications Live“ ansehen.

Zusammenfassung von CVE-2025-31324

Eine Zero-Day-Sicherheitslücke in SAP mit einem CVSS-Wert von 10,0 wird derzeit aktiv ausgenutzt, wodurch sich nicht authentifizierte Angreifer vollständige Kontrolle über das System verschaffen können.

• Die Sicherheitslücke CVE-2025-31324 betrifft SAP Visual Composer und ermöglicht es nicht authentifizierten Angreifern, beliebige Dateien hochzuladen, was zu einer sofortigen vollständigen Kompromittierung des angegriffenen Systems führt.
• SAP Visual Composer ist standardmäßig nicht installiert, wird jedoch weitgehend aktiviert, da es sich um eine Kernkomponente handelte, die von Geschäftsprozessspezialisten zur Entwicklung von Geschäftsanwendungskomponenten ohne Programmierung genutzt wurde.
• Der erste öffentliche Bericht erschien am 22. April 2025 in einem öffentlichen Blogbeitrag des Sicherheitsforschungsunternehmens ReliaQuest.
• SAP hat am 24. April 2025 gegen 13:00 Uhr EST (USA) umgehend einen Notfall-Patch für dieses Problem veröffentlicht.
• Als Reaktion auf den öffentlichen Bericht wurden von Onapsis Threat Intelligence Anzeichen für eine aktive Ausnutzung festgestellt Threat Intelligence von mehreren IR-Unternehmen sowie Sicherheitsforschern gemeldet.
• Am 27. April 2025 Onapsis Research Labs einen Open-Source-Scanner für CVE-2025-31324. Weitere Informationen finden Sie im Abschnitt „Open-Source-Scanner“ weiter unten.
• Am 29. April 2025 hat die CISA die CVE in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen.
• Zum 30. April 2025 Onapsis Research Labs die Onapsis Research Labs erhebliche Aktivitäten von Angreifern, die öffentlich zugängliche Informationen nutzen, um von den ursprünglichen Angreifern – die derzeit inaktiv sind – platzierte Webshells auszunutzen und zu missbrauchen.
• Am 5. Mai 2025 stellten die Onapsis Research Labs andere Sicherheitsfirmen fest, dass opportunistische Angreifer bereits etablierte Webshells aus der vorangegangenen Angriffskampagne nutzten, um neue Angriffe zu starten.
• Am 12. Mai 2025 hat SAP die zuvor empfohlenen Abhilfemaßnahmen 1 und 2 aus dem SAP-Hinweis 3593336 als veraltet eingestuft und ausdrücklich darauf hingewiesen, diese nicht zu verwenden. Unternehmen, die zuvor die Workarounds 1 und 2 für Systeme eingesetzt haben, für die kein Patch verfügbar war, wird empfohlen, eine andere Abhilfemaßnahme anzuwenden – idealerweise Option 0 –, um die Sicherheitslage dieser Systeme zu überprüfen.
• Am 13. Mai 2025 veröffentlichte SAP als Reaktion auf die verantwortungsvolle Offenlegung neuer Informationen Onapsis Research Labszu rekonstruierten Angriffen Anfang Mai umgehend den Sicherheitshinweis 3604119, die sich mit CVE-2025-42999 mit einem CVSS-Wert von 9,1 befasste und damit die von Onapsis Research Labs gemeldete Ursache von CVE-2025-31324 behob.
• Am 15. Mai 2025 nahm die CISA die Schwachstelle CVE-2025-42999 ebenfalls in ihren Katalog bekannter ausgenutzter Schwachstellen auf.

Aktive Kampagnendetails und Zeitplan für CVE-2025-31324

Von Anfang Januar bis Ende Mai 2025 führten Angreifer Erkundungsmaßnahmen und aktive Angriffe durch, die auf diese Zero-Day-Sicherheitslücke abzielten, was zur Installation persistenter Webshells auf Hunderten von Systemen weltweit führte.

• Vom 20. Januar 2025 bis zum 10. Februar 2025 Onapsis Research Labs in unserem globalen Honeypot-Netzwerk Erkundungsaktivitäten, bei denen bestimmte Schadcodes auf diese Sicherheitslücke getestet wurden. 
• Nach dem 10. Februar 2025 nahmen die Aufklärungsaktivitäten ab, und wir konnten erste Ausnutzungsversuche beobachten.
• Einige Organisationen haben Onapsis berichtet, dass es im März 2025, genauer gesagt zwischen dem 14. und dem 31. März, zu erfolgreichen Angriffen mit dem Einsatz von Webshells gekommen sei. Mandiant stellte fest, dass der erste bekannte Fall einer Ausnutzung im Rahmen der Incident-Response-Maßnahmen am 12. März 2025 stattfand.
• Rapid7 stellte fest, dass sein „MDR in mehreren Kundenumgebungen Angriffe festgestellt hat, die mindestens bis zum 27. März 2025 zurückreichen.“
• Am 22. April 2025 veröffentlichte ReliaQuest seine Beobachtungen. Die Firma kam zu dem Schluss, dass – da die Angriffe auf Systemen mit aktuellen Patches erfolgten – wahrscheinlich ein noch nicht gemeldeter RFI-Fehler auf öffentlichen SAP-NetWeaver-Servern ausgenutzt wurde.
• Am 22. April 2025 bestätigte SAP das Problem und aktualisierte den bestehenden SAP-KBA 3593336 („Unbekannte Dateien im Dateisystem von SAP NetWeaver Java“), wobei der bestehende KBA zu unbekannten Dateien mit dieser Kampagne verknüpft wurde. Das FAQ-Dokument (SAP-Hinweis 3596125, veröffentlicht am 24. April 2025) bestätigte, dass unbekannte Dateien wie „.jsp“, „.java“ oder „.class“ in bestimmten Pfaden wie …irjroot, …irjwork und …irjworksync häufige Ziele sind und als bösartig eingestuft werden sollten.
• Am 24. April 2025 hat SAP die Sicherheitslücke offiziell als CVE-2025-31324 identifiziert und als „Fehlende Autorisierungsprüfung in SAP NetWeaver (Visual Composer-Entwicklungsserver)“ beschrieben. SAP stellte fest, dass eine fehlerhafte Autorisierungsprüfung es einem nicht authentifizierten Agenten ermöglichen könnte, potenziell schädliche ausführbare Binärdateien hochzuladen.
• Im Rahmen der forensischen Untersuchung Onapsis Research Labs die Onapsis Research Labs Beweise für die aktive Ausnutzung dieser Zero-Day-Sicherheitslücke Onapsis Research Labs , auf die die exklusive Onapsis Threat Intelligence hingewiesen hatte. Onapsis beobachtete diese Aktivitäten bei SAP-Anwendungen mit Internetanbindung und wurde zudem von SAP-Kunden kontaktiert, die Einblicke in diese Angelegenheit teilten. Gleichzeitig meldeten auch mehrere Incident-Response-Unternehmen und Sicherheitsforscher, dass sie eine aktive Ausnutzung beobachtet hätten.
• Am 25. April 2025 veröffentlichte das Centre for Cybersecurity Belgium eine Warnung bezüglich CVE-2025-31324.
• Am 29. April 2025 hat die CISA die Schwachstelle CVE-2025-31324offiziell in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen, der aktiv ausgenutzte Schwachstellen in freier Wildbahn erfasst.
• Am 30. April 2025 hat SAP SAP-Hinweis Nr. 3593336 um eine neue Problemumgehung („Option 0: Vollständige Entfernung von sap.com/devserver_metadataupload_earapplication“) zu ergänzen, die nun als empfohlene Lösung gilt, um die Anwendung vollständig von den anfälligen Systemen zu entfernen, für die kein Patch verfügbar ist.
• Zum 30. April 2025 sind die ursprünglichen Angreifer nicht mehr aktiv. Es ist jedoch davon auszugehen, dass ihre früheren Exploits erfasst wurden und bei zukünftigen Angriffen von anderen Bedrohungsakteuren wiederverwendet werden könnten. 
• Seit dem 30. April 2025 Onapsis Research Labs zudem erhebliche Aktivitäten zahlreicher opportunistischer Angreifer, die öffentlich zugängliche Informationen nutzen, um Angriffe auszulösen, und dabei von den ursprünglichen Angreifern platzierte Webshells missbrauchen.
• Am 1. Mai 2025 hat SAP den SAP-Sicherheitshinweis Nr. 3594142 (v18) erneut veröffentlicht, wodurch die Patch-Unterstützung auf SAP-NetWeaver-7.5-Systeme mit früheren Service packs ausgeweitet wurde, beginnend nun mit SP 020.
• Am 2. Mai 2025 veröffentlichten Mandiant & Onapsis ein Open-Source-Tool und ein Bedrohungsbriefing, um Unternehmen dabei zu helfen, Indikatoren für Kompromittierungen (IoCs) zu identifizieren, die mit der aktiven Ausnutzung von CVE-2025-31324 in Verbindung stehen.
• Zum 5. Mai 2025 bestätigen Onapsis Research Labs, andere Sicherheitsfirmen und weitere Incident-Responder, dass sie eine zweite Angriffswelle beobachten, die von opportunistischen Angreifern inszeniert wird, welche bereits zuvor eingerichtete Webshells (aus dem ersten Zero-Day-Angriff) auf anfälligen Systemen nutzen. 
• Seit dem 6. Mai 2025 beobachten Onapsis Research Labs andere Incident-Responder Webshells mit zufällig generierten Namen unterschiedlicher Länge anstelle der zuvor beobachteten Webshells mit zufällig generierten Namen aus acht Zeichen. 
• Onapsis Research Labs am 6. Mai 2025 festgestellt, dass die öffentlich diskutierten Webshells zwar repräsentativ für das feindliche Verhalten der gesamten Kampagne sind, jedoch wahrscheinlich über die Ausführung von Fernbefehlen (RCE) hochgeladen wurden , nachdem , dass während der Erkundungsphase des ursprünglichen Angriffs bereits andere RCE-Befehle ausgeführt wurden, was auf eine Gruppe von Angreifern mit hochgradig fortgeschrittenen SAP-Kenntnissen hindeutet. Dies bedeutet, dass eine Kompromittierung und Persistenz nach dem „Living-off-the-Land“-Prinzip auf der Grundlage der von Onapsis beobachteten Payload auch ohne Webshells möglich ist.
• Seit dem 6. Mai 2025 wurde das Kompromissbewertungstool von Mandiant und Onapsis aktualisiert und umfasst nun Funktionen zur Überprüfung von Protokollen auf Hinweise auf Exploits oder Webshell-Zugriffe.
• Am 8. Mai 2025 berichtete Forescout Vedere Labs über eine Untersuchung zu einer der Wellen von Angriffen, die nach der Veröffentlichung von Patches stattfanden. Das Team beobachtete eine bösartige Infrastruktur, die zur Koordinierung opportunistischer Angriffe auf weiterhin anfällige Systeme oder auf Systeme mit bereits vorhandenen Webshells genutzt wurde. Es führte diese Angriffe auf einen Akteur zurück, der vermutlich in China ansässig ist. Der Bericht ist hier.
• Anfang Mai Onapsis Research Labs den Onapsis Research Labs , einen der Angriffe der „ersten Welle“ auf SAP-Systeme, die auf die Schwachstelle CVE-2025-31324 abzielten, vollständig zu rekonstruieren. Im Rahmen ihrer verantwortungsvollen Offenlegung teilten sie diese neuen Erkenntnisse aus der forensischen Untersuchung anschließend mit SAP 
• Am 12. Mai 2025 hat SAP die zuvor empfohlenen Abhilfemaßnahmen 1 und 2 aus dem SAP-Hinweis 3593336 als veraltet eingestuft und ausdrücklich darauf hingewiesen, dass sie nicht verwendet werden sollten. Unternehmen, die zuvor die Workarounds 1 und 2 für Systeme eingesetzt haben, die nicht gepatcht werden konnten, wird empfohlen, eine andere Abhilfemaßnahme – idealerweise Option 0 – anzuwenden und die Sicherheitslage dieser Systeme erneut zu überprüfen.
• Am 13. Mai 2025 veröffentlichte SAP kurzfristig den Sicherheitshinweis 3604119als Reaktion auf die neuen Informationen, die Onapsis Research Labs Anfang des Monats Onapsis Research Labs , und behandelte dabei CVE-2025-42999mit einem CVSS-Wert von 9,1. Dieser Patch behebt die Ursache von CVE-2025-31324.
• Am 14. Mai 2025 aktualisierte ReliaQuest seinen Blogbeitrag und wies darauf hin, dass weitere Untersuchungen Beweise für die ursprüngliche Ausnutzung zutage gefördert hätten, die sie russischen Ransomware-Gruppen, BianLian und RansomEXX (von Microsoft als „Storm-2460” verfolgt), zuschreiben.
• Am 15. Mai 2025 fügte die CISA CVE-2025-42999 in den Katalog der bekannten ausgenutzten Schwachstellen (KEV) für aktiv ausgenutzte Schwachstellen in freier Wildbahn.
• Am 15. Mai 2025 veröffentlichte OP Innovate unter Einzelheiten zu einer Incident-Response-Maßnahme, die während der ersten, „vor dem Patch“ stattfindenden Welle von Exploit-Angriffen durchgeführt wurde, die sie der russischsprachigen Ransomware-as-a-Service-Gruppe „Qilin“ zuschreiben. 
• Am 21. Mai 2025 gab das Canadian Centre for Cyber Security eine kritische Warnung zu den Schwachstellen CVE-2025-31324 und CVE-2025-42999 heraus, nachdem die CISA diese Schwachstellen in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen hatte.
• Am 31. Mai 2025 beobachtete Onapsis Research Labs in seinem Threat Intelligence eine neue Angriffswelle, bei der die Angreifer die Deserialisierung ausnutzten, um direkt Webshells auf den angegriffenen, anfälligen Systemen zu erstellen.
• Für alle SAP-Kunden ist es von größter Wichtigkeit, den SAP-Sicherheitshinweis 3604119 zu implementieren, um die zentrale Sicherheitslücke in der Visual Composer-Komponente auf den betroffenen Systemen zu beheben.

Onapsis identifiziert und behebt CVE-2025-42999, um das Restrisiko von CVE-2025-31324 zu beseitigen.

Der SAP-Sicherheitshinweis 3604119 ändert den Mechanismus zur Verarbeitung bestimmter Dateien in SAP Visual Composer und beseitigt damit die Java-Deserialisierungsschwachstelle, die der fehlenden Berechtigungsprüfung zugrunde lag, die durch den SAP-Sicherheitshinweis 3594142 behoben wurde. 

Dieses Risiko wurde von den Onapsis Research Labs ORL) im Rahmen unserer verantwortungsvollen Offenlegung gegenüber SAP gemeldet.  Im Zuge der weiteren forensischen Untersuchungen gelang es ORL, einen der ursprünglichen Angriffe der „ersten Welle“ vollständig zu rekonstruieren. Diese Informationen wurden umgehend an das SAP Product Security Research Team (PSRT) weitergeleitet, das schnell auf diese neuen Erkenntnisse reagierte. Dies führte zur raschen Erstellung des Security Note 3604119, der das nach der Installation des ersten Patches für CVE-2025-31324 verbleibende Restrisiko direkt behebt und beseitigt.

SAP weist auf Folgendes hin: „Allen Kunden wird unabhängig davon, ob sie zuvor den Sicherheitshinweis 3594142 implementiert haben, empfohlen, auch Sicherheitshinweis 3604119anzuwenden. Die in Sicherheitshinweis 3604119 enthaltenen Patches sind kumulativ und umfassen die notwendigen Korrekturen, die über Sicherheitshinweis 3594142 veröffentlicht wurden.“

Für Unternehmen ist es von größter Bedeutung, den SAP-Sicherheitshinweis 3604119 unverzüglich anzuwenden, um die mit CVE-2025-31324 und CVE-2025-42999 verbundenen Risiken zu beseitigen und ihre kritischen SAP-Systeme zu schützen.

Indikatoren für Kompromittierung

Um nach Anzeichen für eine Kompromittierung zu suchen, müssen Java-Trace-Protokolle auf unbefugte Deserialisierungsvorgänge überprüft und das Dateisystem auf hinterlassene Webshells durchsucht werden.

Da Angreifer Webshells einsetzen, um auch nach der Installation von Patches einen dauerhaften Fernzugriff aufrechtzuerhalten, ist es unerlässlich, diese Artefakte zu identifizieren und zu entfernen. Sicherheitsteams müssen das folgende Protokoll zur Bedrohungssuche befolgen:

1. Das Dateisystem auf Webshells überprüfen: Überprüfen Sie die spezifischen Verzeichnisse auf dem Java-System, in denen Angreifer üblicherweise Webshells ablegen. Suchen Sie nach unbekannten .jsp Dateien, wobei besonders auf Dateinamen zu achten ist, die aus genau acht zufälligen Zeichen bestehen, oder auf bekannte schädliche Dateinamen, die mit diesen Kampagnen in Verbindung stehen.
2. Java-Trace-Protokolle analysieren: Überprüfen Sie die Trace-Dateien des Java-Systems auf unbefugte Deserialisierungsaktivitäten. Da sich die genauen Fehlermeldungen von den allgemeinen Ausführungsprotokollen unterscheiden, müssen Sicherheitsteams ihre Trace-Dateien mit den spezifischen Indikatoren abgleichen, die in den SAP-Sicherheitshinweisen aufgeführt sind.
3. Überwachung der Ausführung mit erweiterten Berechtigungen: Überprüfen Sie die Protokolle auf unbefugte Befehle, die unter dem <sid>adm Benutzerkontext oder unerwarteter Zugriff auf die SecStore.properties Datei.

SAP hat im SAP-Hinweis Nr. 3596125 Anleitungen dazu bereitgestellt, wie festgestellt werden kann, ob Systeme bereits kompromittiert wurden – dieser Hinweis beschreibt die folgenden Schritte:

Überprüfen Sie das Stammverzeichnis der folgenden Betriebssystemverzeichnisse auf das Vorhandensein von „jsp”-, „java”- oder „class”-Dateien.

• C:usrsap<SID><InstanceID>j2eeclusterappssap.comirjservlet_jspirjroot
• C:usrsap<SID><InstanceID>j2eeclusterappssap.comirjservlet_jspirjwork
• C:usrsap<SID><InstanceID>j2eeclusterappssap.comirjservlet_jspirjworksync

Das Vorhandensein dieser Dateien ist ein Hinweis darauf, dass ein Angreifer die Schwachstelle ausgenutzt hat, um beliebige Dateien hochzuladen. Das System sollte als kompromittiert betrachtet werden, und es sollte der entsprechende Plan zur Reaktion auf Vorfälle befolgt werden.

Das folgende Bild veranschaulicht eine mögliche Überprüfung einer bestimmten SAP-Anwendung:

Beobachtete Taktiken

Die Onapsis Research Labs ORL) haben verschiedene Taktiken beobachtet und diese dem MITRE ATT&CK-Framework zugeordnet:

• T1190 (Ausnutzen öffentlich zugänglicher Anwendungen)
• T1505.003 (Server-Softwarekomponente: Web-Shell) 

Nachfolgend finden Sie eine Sammlung von beobachteten IOCs aus ORL-Forschungen, ORL-Kooperationen im Bereich Incident Response und Mandiant-Aktivitäten im Bereich Incident Response:

• helper.jsp – In mehreren Berichten beobachtet
• cache.jsp – In CVE-bezogenen Berichten beobachtet
• forwardsap.jsp
• Kernsaft.jsp
• webhelp.jsp
• .webhelper.jsp – Versteckte Variante
• usage.jsp – Möglicherweise eine umbenannte „helper.jsp”
• usage1.jsp – Variante von usage.jsp
• 404_error.jsp – Möglicherweise eine getarnte Webshell
• .h.jsp – Variante einer versteckten Datei 

Bösartige Webshell-Dateinamen, die mit zugehörigen Hashes (SHA256) identifiziert wurden:

• coresap.jsp-Webshell:
  4c9e60cc73e87da4cadc51523690d67549de4902e880974bfacf7f1a8dc40d7d
• Zufällige 8-stellige Namen ([a-z]{8}).jsp
  b3e4c4018f2d18ec93a62f59b5f7341321aff70d08812a4839b762ad3ade74ee

Hinweis: Onapsis Research Labs ORL) und andere Incident-Responder stellen derzeit fest, dass Webshells mit zufällig generierten Namen unterschiedlicher Länge auftauchen – nicht mehr nur mit zufälligen Namen aus acht Zeichen. ORL beobachtet die Entwicklung weiterhin und wird weitere Informationen bereitstellen.

Darüber hinaus stellte das ReliaQuest-Forschungsteam die folgenden IOCs für die Suche in SAP-Anwendungen zur Verfügung: 

• Helper.jsp-Webshell: 1f72bd2643995fab4ecf7150b6367fa1b3fab17afd2abed30a98f075e4913087
• Cache.jsp-Webshell: 794cb0a92f51e1387a6b316b8b5ff83d33a51ecf9bf7cc8e88a619ecb64f1dcf

Hinweis: Der Blogbeitrag von ReliaQuest wurde am 2. und 14. Mai mit zusätzlichen IOCs aus ihren Untersuchungen aktualisiert.

Sekundäre, opportunistische Angriffe

Im Rahmen des ursprünglichen Zero-Day-Angriffs wurden Webshells auf anfälligen SAP-NetWeaver-Systemen eingerichtet. Wie die Onapsis Research Labs am 30. April Onapsis Research Labs , haben sich die ursprünglichen Angreifer zwar zurückgezogen, doch die Bedrohung hielt an, da eine zweite Welle opportunistischer Angreifer öffentlich zugängliche Informationen nutzte, um Exploits auszulösen und die von den ursprünglichen Angreifern platzierten Webshells zu missbrauchen.

Um nur ein Beispiel zu nennen: Die Onapsis Research Labs mehrere Befehlsversuche, die letztendlich auf einem einzelnen SAP-System erfolglos blieben:

In einem aktuellen Blogbeitrag vom 30. April berichtete WithSecure Labs außerdem über die Aufdeckung eines ausgeklügelten Angriffs, bei dem eine vorhandene Webshell genutzt wurde, um den Einsatz von XMRig Coin Miner zu versuchen:

Am 8. Mai 2025 veröffentlichte Forescout Vedere Labs einen Blogbeitrag über beobachtete bösartige Infrastrukturen, die für „Zweitwellenangriffe“ genutzt wurden, bei denen Systeme ausgenutzt wurden, die noch immer für CVE-2025-31324 anfällig waren, sowie Systeme mit bestehenden Webshells. Sie führten diese Angriffe auf einen wahrscheinlich in China ansässigen Angreifer zurück.

Am 9. Mai 2025 veröffentlichte die Unit 42 von Palo Alto Networks ebenfalls Ergebnisse ihrer Untersuchung zu Folgeangriffen der zweiten Welle, bei denen die Schwachstelle ausgenutzt wurde. Dabei stellten sie einige interessante Überschneidungen mit den Berichten von Forescout fest (z. B. dieselbe IP-Adresse, die mit der Infrastruktur für böswillige Angriffe in Verbindung steht).

Am 13. Mai 2025 veröffentlichte EclecticIQ einen Blogbeitrag, in dem über eine groß angelegte „zweite Welle“ von Internet-Scans und -Angriffen auf anfällige SAP-NetWeaver-Systeme berichtet wurde. Das Unternehmen führt diese Kampagne auf Akteure mit Verbindungen zu China zurück.

Am 27. Mai 2025 veröffentlichte Trend Micro einen Artikel über einen aktiven, mit China in Verbindung stehenden APT-Angreifer namens „Earth Lamia“. In diesem Artikel stellte Trend Micro fest, dass einige der IP-Adressen, die bei einer der Angriffswellen auf CVE-2025-31324 verwendet wurden, in direktem Zusammenhang mit der Angriffsinfrastruktur dieses APT-Angreifers standen.

Am 31. Mai 2025 Onapsis Research Labs direkte Beobachtungen einer neuen Angriffswelle auf mehrere anfällige Systeme in seinem globalen Threat Intelligence für Unternehmensanwendungen. Diese Angriffe nutzten das Verhaltensmuster der ersten Angriffswelle aus, die vor der Verfügbarkeit des Patches stattfand, und nutzten eine Deserialisierungsschwachstelle aus, um direkt Webshells auf den angegriffenen, anfälligen Systemen zu erstellen.

IP-Adressen

Im Rahmen dieser aktiven Angriffskampagne wurde eine große Anzahl von IP-Adressen durch Untersuchungen von Onapsis, im Rahmen der Zusammenarbeit Onapsis Research Labs bei der Onapsis Research Labs Response sowie dank der Unterstützung anderer IR- und Sicherheitsunternehmen erfasst. Zur besseren Übersichtlichkeit und aus praktischen Gründen haben wir die Liste der erfassten IP-Adressen nach Quelle gegliedert.

1) IP-Adressen, die im Rahmen der Onapsis Research Labs und Ermittlungsarbeit von Onapsis Research Labs vor dem 22. April 2025 erfasst wurden:

2) IP-Adressen, die im Rahmen der Zusammenarbeit mit Onapsis Research Labs nern von Onapsis Research Labs erfasst wurden

3) Von anderen IR- und Sicherheitsfirmen öffentlich gemeldete IP-Adressen

Wir danken den zahlreichen Sicherheits- und IR-Unternehmen in der Community für ihre öffentlichen Beiträge, mit denen sie die SAP-Verteidiger mit wichtigen Informationen und IOCs zu diesen kritischen CVEs unterstützen.

• WithSecure Labs hat IP-Adressen aus Folgeangriffen in seinem Blogbeitrag hier vermerkt .
• Die IP-Adressen von Red Canary finden Sie in ihrem Blogbeitrag vom 30. April 2025 hier.
• Die IP-Adressen von CrowdSec finden Sie hier.
• Forescout Vedere Labs hat in seinem Blogbeitrag vom 8. Mai 2025 IP-Adressen (und andere IOCs) aus Folgeangriffen aufgeführt.
• Die Unit 42 von Palo Alto Networks veröffentlichte am 9. Mai 2025 die Ergebnisse ihrer Untersuchung zu Folgeangriffen, darunter IP-Adressen und andere IOCs.
• EclecticIQ veröffentlichte am 13. Mai 2025 seine Untersuchung zu Folgeangriffen, die IP-Adressen und andere IOCs umfasst. Das Unternehmen schreibt Angriffe unter Verwendung der IP-Adresse 27.25.148[.]183 der mit China in Verbindung stehenden Bedrohungsgruppe UNC5221 zu. Dieselbe IP-Adresse hostet eine Infrastruktur, die bei weiteren Folgeangriffen von UNC5221 beobachtet wurde.
• OP Innovate veröffentlichte am 15. Mai 2025 seine Untersuchung zur Ausnutzung der ersten Welle mit einer Liste von IP-Adressen und anderen IOCs.

Die Onapsis Research Labs stets auf der Suche nach Möglichkeiten zur Zusammenarbeit mit Unternehmen aus den Bereichen Incident Response und Sicherheit. Wenn Sie Indikatoren für Kompromittierungen haben, die Sie teilen möchten, wenn Sie möchten, dass wir auf Ihre Erkenntnisse/Analysen verweisen oder diese verlinken, oder wenn Sie andere Ideen für eine Zusammenarbeit haben, kontaktieren Sie uns bitte unter [email protected].

Übersicht über Schwachstellen

SAP-Zero-Day-Sicherheitslücke (CVE-2025-31324) – Überblick

Betroffene Komponente: Die Sicherheitslücke besteht in der SAP Visual Composer-Komponente für SAP NetWeaver 7.1x (alle SPS) und höher, insbesondere im „developmentserver“-Teil der Anwendung. Diese Komponente ist Teil des SAP NetWeaver Java-Stacks. Sie ist zwar nicht standardmäßig installiert, wird jedoch auf bestehenden SAP NetWeaver Application Server Java-Systemen häufig aktiviert, da sie für Geschäftsprozessspezialisten bei der Entwicklung von Geschäftskomponenten ohne Programmieraufwand von großem Nutzen ist.

Grundursache: Das grundlegende Problem ist eine fehlerhafte Authentifizierungs- und Autorisierungsprüfung in der Anwendung. Das bedeutet, dass der Metadata Uploader nicht geschützt ist, wenn ein nicht authentifizierter Benutzer einige seiner Funktionen nutzen möchte.

Kritikalität: Die Schwachstelle wurde mit einem CVSS-Wert von 10 bewertet, da sie bei erfolgreicher Ausnutzung eine vollständige Kompromittierung des Systems ermöglicht.

Ausnutzungsmethode: Die Schwachstelle kann über HTTP/HTTPS ausgenutzt werden, möglicherweise über das Internet. Angreifer zielen auf die URL /developmentserver/metadatauploader ab, indem sie sorgfältig gestaltete GET-, POST- und HEAD-HTTP-Anfragen senden.

Authentifizierungsanforderung: Es ist keine Authentifizierung erforderlich, um die Schwachstelle auszunutzen, sodass nicht authentifizierte Agenten oder nicht authentifizierte Angreifer mit der anfälligen Komponente interagieren können.

Technische Auswirkungen: Während zunächst angenommen wurde, dass es sich lediglich um das Hochladen beliebiger Dateien handelte, Onapsis Research Labs weitere Untersuchungen von Onapsis Research Labs ergeben, dass es sich tatsächlich um die Ausführung von Befehlen aus der Ferne (RCE) handelt. Die öffentlich diskutierten Artefakte (d. h. die Webshells) sind repräsentativ für das umfassendere Angriffsverhalten der ursprünglichen Angriffskampagne. Angreifer können potenziell schädliche Code-Dateien hochladen (und haben dies bereits getan), meist in Form von Webshells. Zu den beobachteten Dateinamen gehören beispielsweise „helper.jsp“ und „cache.jsp“. Onapsis Research Labs kam jedoch zu dem Schluss, dass dies wahrscheinlich über RCE erfolgte, nachdem zuvor mit RCE-Befehlen eine Erkundung durchgeführt worden war. Das bedeutet, dass zwar das Vorhandensein von Webshells, wie hier und an anderer Stelle erwähnt, als verlässliche Indikatoren für eine Kompromittierung im Rahmen dieser spezifischen aktiven Kampagne dienen, es für einen Angreifer jedoch durchaus möglich ist, „live off the land“ (d. h. „ohne Webshell“) zu agieren und eine vollständige Kompromittierung sowie Persistenz zu erreichen.

Angriffsfläche: Obwohl die SAP Visual Composer-Komponente optional installiert werden kann, zeigen Untersuchungen von Onapsis, dass diese Komponente in mindestens 50 % der Java-Systeme installiert und aktiviert ist; dabei deuten die Untersuchungen darauf hin, dass der Prozentsatz sogar bei bis zu 70 % liegen könnte.

Ausbeutungsdetails

Exploitation happens via a POST, HEAD, or GET request to the vulnerable component. Upon successful exploitation, threat actors are able to execute arbitrary commands (RCE). Threat actors have been observed uploading webshells to vulnerable systems. These webshells allow the threat actor to execute arbitrary commands in system context, with the privileges of the <sid>adm Operating System user, giving them full access to all SAP Resources.

Beispiel für die Ausnutzung der Schwachstelle

Auswirkungen von CVE-2025-31324 auf Unternehmen

With <sid>adm access, the attacker gains unauthorized access to the underlying SAP Operating System using the user and privileges of the processes running in the SAP Application Server, implying full access to any SAP resource, including the SAP system database without any restrictions, permitting them to take several actions (e.g., shut down the SAP application or deploy ransomware). 

Darüber hinaus kann das System dem Angreifer als Einstiegspunkt in ein Netzwerk dienen, von dem aus er unter Ausnutzung der Vernetzung von SAP-Systemen auf andere interne Systeme zugreifen kann.

Wie immer ist die Gefahr einer sofortigen vollständigen Kompromittierung eine ernste Angelegenheit, der Ihr Team höchste Priorität einräumen sollte. Dies könnte zu böswilligen und unbefugten Geschäftsaktivitäten führen, die kritische SAP-Systeme beeinträchtigen, darunter unter anderem die Änderung von Finanzdaten, das Einschleusen von Ransomware, der Zugriff auf personenbezogene Daten (PII), die Beschädigung von Geschäftsdaten sowie das Löschen oder Ändern von Protokollen, Trace-Daten und andere Handlungen, die den wesentlichen Geschäftsbetrieb gefährden.

Darüber hinaus könnte für Organisationen, die strengen regulatorischen Anforderungen unterliegen (z. B. USA: SEC-Vorschriften zur Cybersicherheit; EU: NIS2) oder Branchen-Compliance-Rahmenwerken (z. B. Sarbanes-Oxley, NERC) unterliegen, könnten die daraus resultierenden Mängel bei den IT-Kontrollen für solche regulatorischen oder Compliance-Vorgaben erheblich und weitreichend sein, einschließlich (aber wiederum nicht beschränkt auf) Unternehmenshaftung für beschädigte oder veränderte Daten, Exfiltration sensibler und/oder finanzieller Daten und die Offenlegung personenbezogener Daten.

Schnelles Patchen, Schadensbegrenzung, wenn Sie nicht patchen können, und – im Falle einer Exposition – die Bewertung der Kompromittierung sollten allesamt oberste Priorität haben.

So funktionieren die Exploits CVE-2025-31324 und CVE-2025-42999

Der Exploit funktioniert, indem er ein bösartiges serialisiertes Objekt an einen nicht authentifizierten HTTP-Endpunkt sendet und dabei eine hochkomplexe Gadget-Kette nutzt, um die Ausführung von Befehlen aus der Ferne zu erreichen.

Eine Deserialisierungsschwachstelle ist ein Fehler, der auftritt, wenn eine Anwendung Laufzeitobjekte aus formatierten Daten in einem serialisierten Byte-Strom rekonstruiert, ohne eine ordnungsgemäße Eingabevalidierung durchzuführen oder ausreichende Einschränkungen hinsichtlich der verfügbaren Objektklassen anzuwenden. Dies ermöglicht es Angreifern, vorhandene Codeblöcke (Gadgets) mit einer Exploit-Primitive zu verketten, um während des Deserialisierungsvorgangs eine unerwartete Codeausführung auszulösen.

Der analysierte Exploit basiert auf einer äußerst komplexen Gadget-Kette, die das hohe Fachwissen der Angreifer verdeutlicht. Die Angreifer haben diese Payload entwickelt, indem sie eine maßgeschneiderte Abfolge von Gadgets aus SAP-spezifischen Bibliotheken mit einem bekannten Codeausführungsmodul kombiniert haben, das häufig in Tools zur Payload-Generierung verwendet wird. Um die klassische signaturbasierte Erkennung durch Intrusion-Detection-Systeme zu umgehen, haben die Autoren bestimmte Werte innerhalb des schädlichen Byte-Stroms absichtlich verändert.

Bewertung der Exposition

Um festzustellen, ob Ihre Systeme anfällig sind, müssen Sie die Komponenten des SAP-Systems auflisten – für jedes Java-System. Wenn entweder VISUAL COMPOSER FRAMEWORK oder VCFRAMEWORK als installiert aufgeführt ist, verfügt das System über die betreffende Komponente.

Der folgende Screenshot zeigt die Auflistung der Komponenten, gefiltert nach der betroffenen Komponente, nämlich VCFRAMEWORK. Diese Ansicht erhalten Sie, indem Sie auf der Startseite des SAP NetWeaver Application Server Java zu „Systeminformationen“ → „Komponenteninfo“ (Registerkarte) navigieren.

Abbildung 1: Beispiel für eine anfällige Komponentenversion.

Sie müssen dann manuell überprüfen, ob der Patch aus dem SAP-Sicherheitshinweis Nr. 3594142 angewendet wurde oder ob eine der Abhilfemaßnahmen aus dem SAP-KB-Artikel Nr. 3593336 umgesetzt wurde. Onapsis-Kunden werden gebeten, die Abschnitt „Onapsis Platform “ in diesem Artikel, um zu erfahren, wie diese Überprüfung automatisch in Ihrer gesamten Landschaft durchgeführt werden kann.

Abhilfemaßnahmen und Empfehlungen für CVE-2025-31324

Die Behebung der Sicherheitslücke im SAP Visual Composer erfordert einen mehrstufigen Patch-Prozess, um die Authentifizierung durchzusetzen und die Seriennummernfilter der Java Virtual Machine zu konfigurieren.

Unternehmen müssen zunächst den außerhalb des regulären Patch-Zyklus veröffentlichten SAP-Sicherheitshinweis 3594142 anwenden, um die Authentifizierung am anfälligen HTTP-Endpunkt durchzusetzen. Um den zugrunde liegenden Deserialisierungsvorgang vollständig zu beheben und eine strenge Klassenfilterung durchzusetzen, müssen Sicherheitsteams zudem die nachfolgenden SAP-Sicherheitshinweise 3660659 und 3604119 anwenden, die im Rahmen der regulären „Patch Tuesday“-Zyklen veröffentlicht wurden.

1. Erforderliche Sicherheitshinweise herunterladen: Melden Sie sich beim SAP Support Portal an, um die spezifischen SAP-Sicherheitshinweise zu den CVE-Nummern CVE-2025-31324 und CVE-2025-42999 abzurufen.
2. Konfigurieren des JVM-Serial-Filters: Um diesen Schutz zu implementieren, müssen die Parameter der Java Virtual Machine angepasst werden, um schädliche Klassen zu blockieren. Rufen Sie das NetWeaver Administrator (NWA)-Portal auf. Navigieren Sie zu „Konfiguration“ -> „Infrastruktur“ -> „Java-Systemeigenschaften“. Vergewissern Sie sich, dass die aktive Vorlage ausgewählt ist, und navigieren Sie zum Abschnitt „System-VM-Parameter“. Fügen Sie einen neuen Parameter mit dem Namen jdk.serialFilter und setzen Sie den Wert auf die genaue Liste der eingeschränkten Klassen und Pakete, die in SSN 3660659 angegeben sind.
3. System neu starten: Führen Sie den erforderlichen Systemneustart durch, um sicherzustellen, dass die neuen Filterregeln für Klassen von der Java Virtual Machine ordnungsgemäß angewendet werden.

Einführung von Ausgleichsmaßnahmen ohne Betriebsunterbrechung

Bei ERP-Systemen in der Produktion ist es nicht immer möglich, Patches sofort zu installieren. Wenn die Installation von Patches auf ein geplantes Wartungsfenster verschoben werden muss, sollten Unternehmen eine kontinuierliche SAP-Bedrohungsüberwachung einrichten:

• Endpunktüberwachung konfigurieren: Legen Sie im SIEM Warnregeln fest, um den gesamten Datenverkehr zu überwachen, der für den Endpunkt des SAP NetWeaver Visual Composer HTTP-Metadaten-Uploaders bestimmt ist.
• Warnung bei nicht authentifiziertem Zugriff: Markieren Sie alle nicht authentifizierten Anfragen an diese bestimmte URL. Das SIEM-System muss die Rohdaten des Ereignisses erfassen, einschließlich des Zeitpunkts der Datenextraktion, des Ziel-ERP-Systems und der Quell-IP-Adresse.

SAP-Ressourcen

SAP hat die folgenden Hinweise veröffentlicht, um Kunden dabei zu helfen, sich vor dieser aktuellen Bedrohung zu schützen:

• SAP-Sicherheitshinweis Nr. 3594142 – Stellt die Hotfix-Support-Pakete zur Verfügung, um die Sicherheitslücke zu beheben. Verweist außerdem auf den SAP-Hinweis Nr. 3596125 und erste manuelle Maßnahmen zur Ermittlung von Anzeichen einer früheren Gefährdung
• SAP-Hinweis Nr. 3596125 – FAQ zum Sicherheitshinweis Nr. 3594142. Bitte beachten Sie, dass sich dieses Dokument ständig weiterentwickelt und SAP diese FAQ und Leitlinien kontinuierlich aktualisiert und erweitert.  
• SAP-Hinweis Nr. 3593336 – Enthält Maßnahmen zur Problemumgehung für Kunden, die den Patch nicht anwenden können. Bitte beachten Sie, dass SAP diesen Hinweis am 30. April mit einer neuen Problemumgehung („Option 0“) aktualisiert hat, die nun als empfohlene Abhilfemaßnahme gilt.
• SAP-Sicherheitshinweis Nr. 3604119 – Patch für CVE-2025-42999 (CVSS 9.1). Dieser Hotfix behebt die Sicherheitslücke und beseitigt damit ein Restrisiko, das nach dem Patchen von CVE-2025-31324 mit #3594142 verblieben war.

Möchten Sie Ihre Umgebung scannen? Erfahren Sie mehr über unseren kostenlosen Indicators of Compromise Scanner, der in Zusammenarbeit mit Mandiant veröffentlicht wurde.

Platform Onapsis Platform für CVE-2025-31324 und CVE-2025-42999

Onapsis veröffentlichte am 24. April 2025, nur wenige Stunden nachdem SAP seinen Notfall-Patch veröffentlicht hatte, umfassende Support-Maßnahmen für diese Sicherheitslücke. Diese Maßnahmen umfassten die Möglichkeit, anfällige Systeme zu identifizieren, die Überwachung auf Versuche, ein noch anfälliges System auszunutzen, sowie einen Artikel im Threat Intel Center, der als zentrale Anlaufstelle für alle Informationen und Daten im Zusammenhang mit dieser sich weiterentwickelnden Bedrohung dient.

Seitdem hat Onapsis unsere Abdeckung auf der Grundlage der laufenden Analysen und forensischen Untersuchungen des Onapsis Research Lab kontinuierlich aktualisiert und erweitert.

• Assess
  • Identifiziert das Vorhandensein von Patches und Abhilfemaßnahmen
  • Führt eine Kompromissbewertung durch
• Defend
  • Alarme bei Exploit-Aktivitäten
  • Alarme bei IOC/Webshell-Zugriff
• Bedrohungsinformationszentrum (TIC)
  • Einheitliche Quelle für Kampagneninformationen
  • Automatische Matrixerstellung für alle Inhalte zuDefend Assess
• Pack zur Netzwerkerkennung Pack NDRP)
  • Erkennung von Angriffen auf Netzwerkebene

Zeitplan für die Aktualisierung Platform der Platform : 

24. April:

• Assess 459 aktualisiert
• Defend 74b6519b3821d7be9ac1d0c259c5d3c2 Defend – erstellt
• Artikel des Threat Intel Center veröffentlicht

25. April:

• Assess 1059 erstellt
• Defend zum Profil des versendeten Vorfalls „OP_Shipped_SOC_JAVA“ hinzugefügt

30. April:

• Assess 1060 erstellt
• Assess 1061 erstellt
• Defend 2df8b029538afe93eaa60a3a124ceb60 erstellt
• NDPR-Regeln erstellt

2. Mai:

• Assess 1059 wurde aktualisiert und enthält nun neue SAP-Workarounds
• Defend 2df8b029538afe93eaa60a3a124ceb60 aktualisiert auf Grundlage von ORL-Forschungsergebnissen
• NDRP-Regeln auf Grundlage von ORL-Forschung aktualisiert

6. Mai:

• Assess 1060 und 1061 wurden auf der Grundlage von ORL-Forschungsergebnissen aktualisiert
• Defend 2df8b029538afe93eaa60a3a124ceb60 aktualisiert auf Grundlage von ORL-Forschungsergebnissen
• NDRP-Regeln auf Grundlage von ORL-Forschung aktualisiert

13. Mai

• Assess 1062 erstellt

Bestehende Onaps Assess können einen Assessment-Scan für ihre gesamte Infrastruktur durchführen, um Systeme zu identifizieren, auf denen die anfällige Komponente installiert und nicht gepatcht ist und für die keine Abhilfe- oder Schutzmaßnahmen getroffen wurden. Durch fortlaufende automatische Scans können Sie Ihre Fortschritte bei der Behebung der Schwachstellen in den betroffenen Systemen verfolgen und das Risiko einer Kompromittierung Ihrer Umgebung beseitigen. Zusätzliche Assess überprüfen Java-Systeme auf Indikatoren für Kompromittierung (IoCs) im Zusammenhang mit dieser Schwachstelle.

Während die Behebungsmaßnahmen laufen, werden die Interaktionen mit der anfälligen Komponente Defend automatisch überwacht. Da die Protokollierung von POST-, GET- und HEAD-Anfragen im SAP-System nur wenige Details erfasst, Defend das Vorhandensein einer Webshell oder anderer Payloads in diesen Anfragen selbst Defend erkennen; es kann jedoch eine Warnmeldung ausgeben, wenn die Anfragen an eine anfällige SAP Visual Composer-Komponente gerichtet sind. Eine zusätzliche Defend kann bei Zugriff auf bekannte Webshells in Ihrer SAP-Umgebung eine Warnung auslösen.

Am 25. April 2025 bot Onapsis zwei Live-Briefings an, in denen Details zur Sicherheitslücke, zur aktiven Ausnutzung und zu Maßnahmen zur Risikominderung vorgestellt wurden. Eine dritte Sitzung fand am 29. April 2025 statt. Klicken Sie hier, um ein On-Demand-Video dieser Sitzung anzusehen. Einige der häufigsten Fragen, die wir während unserer Sitzungen erhalten haben, sind nachfolgend zu Ihrer Information aufgeführt. Aufgrund der überwältigenden Resonanz haben wir am 7. Mai in Zusammenarbeit mit Mandiant eine weitere Informationsveranstaltung zu dieser Bedrohung abgehalten, bei der wir den aktuellen Stand der Angriffskampagne erörtert haben. Diese Sitzung kann hier auf Abruf angesehen werden.

In der Onapsis SAP Defenders Community werden weiterhin Leitfäden für unsere Kunden veröffentlicht. Diese Leitfäden werden aktualisiert, sobald neue Informationen zu dieser Bedrohung und ihren Auswirkungen bekannt werden. Die Onapsis SAP Defenders Community bietet Onapsis-Kunden ein Forum, in dem sie sich über aktuelle threat intelligence informieren, Zugang zu exklusiven Ressourcen erhalten, direkt mit Onapsis-Experten in Kontakt treten und mit anderen SAP-Sicherheitsexperten zusammenarbeiten können.

Open-Source-Scanner für CVE-2025-31324 und CVE-2025-42999

Whitebox-Scanner für Indikatoren für Kompromittierung (IoCs)

Onapsis hat in Zusammenarbeit mit Mandiant ein Open-Source-Tool entwickelt und veröffentlicht, mit dem sich Indikatoren für eine Kompromittierung (IoCs) auf potenziell betroffenen SAP-Systemen identifizieren lassen. Dieses Tool ermöglicht es Sicherheitsverantwortlichen:

• Erkennen Sie, ob das System für CVE-2025-31324 anfällig ist.
• Identifizieren Sie bekannte Indikatoren für Kompromittierungen (IOCs) im Zusammenhang mit verfügbaren Kampagneninformationen.
• Suchen Sie nach unbekannten ausführbaren Webdateien in bekannten Exploit-Pfaden.
• Sammeln Sie verdächtige Dateien in einem strukturierten ZIP-Archiv mit einem Manifest für die spätere Analyse.
• HTTP-Zugriffsprotokolle auf Hinweise auf Zugriff auf die anfällige Komponente oder verdächtige Artefakte scannen
• Extrahierte Protokolleinträge für zukünftige Analysen sammeln

Laden Sie das Tool hier aus dem Onapsis Github-Repository herunter.

Blackbox-Schwachstellenscan und Erkennung bekannter Remote-Webshells

Um Sicherheitsverantwortliche bei der Erfassung von Sicherheitslücken und der Bewertung von Sicherheitsrisiken zu unterstützen, hat Onapsis Research Labs ORL) einen Open-Source-Scanner entwickelt, mit dem SAP-Kunden ihre Umgebung auf nicht-invasive Weise analysieren können, um festzustellen, ob eines ihrer Systeme für die Sicherheitslücke CVE-2025-31324 anfällig ist, die in der Praxis weiterhin aktiv ausgenutzt wird.

Dieses Tool führt einen nicht-intrusiven Remote-Scan über die IP-Adresse durch, um Folgendes zu ermitteln:

1. Ist die betroffene Komponente vorhanden oder nicht vorhanden?
2. Ist die betroffene Komponente gepatcht oder nicht gepatcht?
3. Sind die bekannten Webshells vorhanden oder nicht vorhanden?

Laden Sie das Tool hier aus dem Onapsis Github-Repository herunter.

Da sich die Lage weiterhin entwickelt, Onapsis Research Labs diese Tools aktualisieren, sobald weitere Informationen vorliegen. Die Tools bieten Funktionen, mit denen überprüft werden kann, ob eine neuere Version zum Download bereitsteht, und die dazu beitragen, sicherzustellen, dass Ihre Teams stets die aktuellste Version von ORL verwenden.

Bitte beachten Sie, dass diese Tools von Onapsis unter der Apache-Lizenz, Version 2.0, bereitgestellt werden. Diese Tools sind ein Beitrag für die Sicherheits-, Incident-Response- und SAP-Communitys, um bei der Reaktion auf die aktive Ausnutzung von CVE-2025-31324 zu helfen. Wir betrachten die Tools als „in der Entwicklung befindlich“ und werden sie zügig weiterentwickeln, sobald weitere Informationen entweder von Onapsis Research Labs öffentlich verfügbar werden. Wie immer handelt es sich hierbei um eine Entwicklung nach bestem Wissen und Gewissen, die „wie besehen“ ohne Gewährleistung oder Haftung angeboten wird. Wir empfehlen dringend, die Nutzung dieser Tools durch eine gründliche Überprüfung potenziell anfälliger und kompromittierter Systeme zu ergänzen. 

YARA

Um Sicherheitsverantwortlichen in Unternehmen, die SAP einsetzen, sowie der breiteren Sicherheitsgemeinschaft zu helfen, Onapsis Research Labs die Onapsis Research Labs eine YARA-Regel entwickelt, mit der sich erfolgreiche Zugriffe auf die im Rahmen der Angriffskampagne platzierten Webshells erkennen lassen:

Besonderer Support für SAP-Kunden 

Um qualifizierte SAP-Kunden zu unterstützen, die Untersuchungen, die Beseitigung von Sicherheitsbedrohungen und eine zusätzliche Sicherheitsüberwachung nach einem Sicherheitsvorfall benötigen, bietet Onapsis eine kostenlose Bestandsaufnahme sowie ein dreimonatiges Gratisabonnement für die Platform an. Für weitere Informationen wenden Sie sich bitte an [email protected].

Zusätzliche Expertenberichterstattung zu CVE-2025-31324 von Onapsis:

Häufig gestellte Fragen zu CVE-2025-31324

Welche Versionen des SAP NetWeaver Java Systems sind von dieser Sicherheitslücke betroffen?

AP hat in seinen FAQ bestätigt SAP-Hinweis Nr. 3596125 dass alle Versionen ab 7.1x und alle SPS betroffen sind.

Wenn wir NetWeaver Java „7.x SPS x“ mit installiertem Visual Component Framework haben, sind wir dann immer noch anfällig?

Ja – es ist sehr wahrscheinlich, dass Systeme, auf denen eine ältere Version von NetWeaver läuft, anfällig sind. SAP hat kürzlich seinen Sicherheitshinweis aktualisiert und darauf hingewiesen, dass alle Versionen 7.1x (alle SPS) und höher betroffen sind. Es ist zu beachten, dass SAP NetWeaver Application Server Java 7.40 oder niedrigere Versionen nicht unterstützt werden und keine Updates erhalten. Für diese älteren Versionen müssen Sie eine der in SAP-Hinweis 3593336 beschriebenen Abhilfemaßnahmen implementieren, wenn Sie das System nicht aktualisieren (und anschließend patchen) können.

Welche Komponente des SAP NetWeaver Java Systems ist davon betroffen?

Die Anwendung „SAP Visual Composer“ (VCFRAMEWORK)

Wenn unser SAP-System nicht mit dem Internet verbunden ist, müssen wir uns dann nur vor Bedrohungen durch Insider fürchten, oder sind wir dennoch anfällig für böswillige Angreifer?

Das Einzige, was sich ändert, wenn die SAP-Anwendung nicht mit dem Internet verbunden ist, ist die Häufigkeit der Ausnutzung. Diese Schwachstelle hat einen CVSS-Wert von 10,0 und sollte als kritisch eingestuft und unverzüglich behoben werden. Aufgrund der Art der Schwachstelle und der Art und Weise, wie sie ausgenutzt wird, ist davon auszugehen, dass automatisierte Exploit-Tools diese Schwachstelle ausnutzen werden und dass es Tools geben wird, die problemlos innerhalb eines Netzwerks ausgeführt werden können. Darüber hinaus könnte dies von bösartiger Software wie Malware oder Ransomware ausgenutzt werden.

Wurde diese Sicherheitslücke von einem Forscher entdeckt, oder wird sie bereits in der Praxis ausgenutzt und haben einige Sicherheitsdienste die tatsächlichen Angriffe entdeckt?

Diese Sicherheitslücke wurde auf der Grundlage von Beobachtungen identifiziert, wonach mehrere verschiedene Incident-Response-Teams und Sicherheitsforscher eine aktive Ausnutzung dieser Schwachstelle in SAP-Anwendungen in der Praxis festgestellt hatten. Sie wurde erstmals in einem Blogbeitrag von ReliaQuest öffentlich thematisiert. 

Gibt es nach den bisherigen Erkenntnissen bestimmte Sektoren oder Branchen, auf die es böswillige Angreifer abgesehen haben?

Wir sammeln derzeit umfassende Informationen zu den betroffenen Branchen, doch zum gegenwärtigen Zeitpunkt sollte angesichts der beobachteten Bedrohungsaktivität davon ausgegangen werden, dass alle kritischen Infrastrukturen einem hohen Risiko ausgesetzt sind. Aufgrund der Schwere der Sicherheitslücke (CVSS 10,0) und der Tatsache, dass sie über HTTP ausgenutzt werden kann, sollten alle Organisationen angesichts der in den letzten Tagen beobachteten Bedrohungsaktivität unverzüglich Maßnahmen zur Behebung oder Abmilderung ergreifen.

Gibt es bestimmte Betriebssystemplattformen, die besonders anfällig für Ransomware sind?

Im Allgemeinen sind Microsoft Windows-basierte Betriebssysteme bevorzugte Ziele für Ransomware-Banden, da sie über alle notwendigen Voraussetzungen für Ransomware verfügen. Die Bedrohung durch Ransomware beschränkt sich jedoch nicht nur auf Windows; daher sollte man nicht davon ausgehen, dass man vor einem Ransomware-Angriff sicher ist, nur weil die SAP-Systeme auf einem Nicht-Windows-Betriebssystem laufen.

Wie kann ich überprüfen, ob Visual Composer installiert ist?

Sie müssen die Komponenten des SAP-Systems auflisten. Wenn „VISUAL COMPOSER FRAMEWORK“ (VCFRAMEWORK) installiert ist, ist das System anfällig. Das bedeutet, dass Sie den Patch aus dem SAP-Sicherheitshinweis Nr. 3594142 anwenden oder eine der Abhilfemaßnahmen aus dem SAP-Hinweis Nr. 3593336 nutzen müssen , wodurch die Komponente im Grunde unzugänglich gemacht wird.

Wenn Sie Onapsis-Kunde sind, können Sie Assess alle Ihre Java-Systeme Assess . Assess nicht nur die Systeme, auf denen die Komponente installiert ist, sondern meldet auch ein Problem für alle Systeme, auf denen die Komponente vorhanden ist und die nicht gegen die Sicherheitslücke geschützt sind.

Wie können wir feststellen, ob Visual Composer tatsächlich verwendet wird oder nicht? Müssen wir prüfen, ob VCFRAMEWORK installiert ist und die Dienste laufen? 

Um festzustellen, ob der SAP Visual Composer auf einem System tatsächlich zur Entwicklung von Anwendungen genutzt wird, müssen die Protokolle analysiert werden, um zu erkennen, ob Benutzer auf die Komponente zugreifen. Zudem müsste geprüft werden, ob der Dienst auch zur Laufzeit benötigt wird oder nur während der Entwicklung – dies hängt davon ab, wie die Entwicklung in der Organisation durchgeführt wird.

Besteht ein Risiko, wenn sich die Komponente im „angehaltenen“ Zustand befindet?

Dies ist eine der fünf Abhilfemaßnahmen, die SAP in seinem Knowledge-Base-Artikel Nr. 3593336 beschreibt. Sie haben damit jedoch lediglich das Risiko verringert – die Sicherheitslücke selbst wurde nicht beseitigt. Diese Abhilfemaßnahme könnte rückgängig gemacht werden, was dazu führen könnte, dass Ihr Unternehmen durch eine zukünftige Änderung erneut dieser Angriffskampagne ausgesetzt wird. Die endgültige Lösung besteht zum jetzigen Zeitpunkt weiterhin darin, den Patch auf allen betroffenen Systemen zu installieren.

Werden im Rahmen von Angriffen tatsächlich „Temporärdateien“ auf Betriebssystemebene erstellt?

Die Sicherheitslücke ermöglicht es einem Angreifer, beliebige Dateien auf das Betriebssystem des betroffenen Systems hochzuladen. Dabei handelt es sich nicht um temporäre Dateien, sondern um bestimmte Dateien, die vom Angreifer hochgeladen werden. Es gibt verschiedene Indikatoren für eine Kompromittierung (IoCs), die mit der Ausnutzung dieser Sicherheitslücke in Verbindung stehen und die wir hier auf dieser Seite laufend aktualisieren.

Scheinen die ursprünglichen Angreifer finanzielle Motive zu haben? Wurde Ransomware eingesetzt?

Was die Motive für die Angriffe betrifft, so wurden bislang weder öffentlich Informationen bekannt gegeben, noch wurde eine bestimmte Gruppe oder mehrere Gruppen von Angreifern identifiziert. Finanzieller Gewinn ist jedoch stets ein sehr häufiges Motiv, wobei Ransomware ein gängiges Mittel der Angreifer ist und doppelte Erpressung ein immer häufiger auftretender Angriffstrend ist.

Ist davon auszugehen, dass diese Anzeichen für eine Kompromittierung – d. h. die *.jsp- und *.java-Dateien – in versteckten Dateiformaten vorliegen?

Zunächst wären diese Dateien nicht versteckt. Bedenken Sie jedoch, dass der Angreifer, sobald er im Web ausführbaren Code auf das System hochgeladen hat, in der Lage ist, eine Vielzahl von Administratoraktionen durchzuführen, darunter auch Maßnahmen, um seine Spuren zu verwischen – d. h. Dateien zu verstecken.