Scanner für Anzeichen einer Kompromittierung bei SAP Zero-Day (CVE-2025-31324)

Von:

2. Mai 2025

Onapsis veröffentlicht in Zusammenarbeit mit Mandiant ein Open-Source-Tool, das Unternehmen dabei helfen soll, Indikatoren für eine Kompromittierung (IoCs) zu identifizieren, die mit der aktiven Ausnutzung einer kürzlich behobenen Sicherheitslücke im SAP NetWeaver Application Server Java (CVE-2025-31324) in Verbindung stehen.

CVE-2025-31324 ist eine kritische Sicherheitslücke in der Visual Composer-Komponente von SAP NetWeaver, die eine nicht authentifizierte Remote-Codeausführung ermöglicht und es Angreifern erlaubt, control vollständige control betroffene SAP-Server zu erlangen. 

Onapsis und Mandiant unterstützen derzeit zahlreiche internationale Unternehmen bei der Bewältigung von Vorfällen im Zusammenhang mit diesem Problem.

Um mehr über die mit diesem Tool verbundene Bedrohung zu erfahren, lesen Sie unseren Überblick über die aktive Ausnutzung der Sicherheitslücke CVE-2025-31324.

Übersicht über CVE-2025-31324

Diese Sicherheitslücke betrifft SAP-NetWeaver-Java-Systeme, auf denen die Entwicklungsumgebung „Visual Composer“ aktiviert und nicht gepatcht ist. Eine erfolgreiche Ausnutzung verschafft Angreifern control vollständige control das System, einschließlich uneingeschränkten Zugriffs auf sensible SAP-Geschäftsdaten und -Prozesse, der Installation von Ransomware sowie der lateralen Bewegung. Die erste von Onapsis beobachtete Ausnutzung geht auf den 14. März 2025 zurück, und die Aktivitäten haben seit der Veröffentlichung des Notfall-Patches durch SAP am 24. April 2025 deutlich zugenommen. 

Angesichts der Schwere des Problems und der weit verbreiteten Ausnutzung dieser Sicherheitslücke wird Kunden mit anfälligen, nach außen gerichteten SAP-Anwendungen dringend empfohlen, nicht nur Patches zu installieren, sondern assess Umgebungen auch auf mögliche Kompromittierungen assess .

Weitere Informationen zu diesem Problem finden Sie in threat research von Onapsis threat research CVE-2025-31324.

Über den Scanner

Der von Onapsis in Zusammenarbeit mit Mandiant entwickelte Open-Source-Scanner soll SAP-Kunden dabei unterstützen:

  • Prüfen, ob das System für CVE-2025-31324 anfällig ist
  • Identifizieren Sie bekannte Indikatoren für eine Kompromittierung (IOCs) im Zusammenhang mit den verfügbaren Informationen zur Kampagne
  • Nach unbekannten, im Web ausführbaren Dateien in bekannten Exploit-Pfaden suchen
  • Sammeln Sie verdächtige Dateien in einem strukturierten ZIP-Archiv mit einem Manifest zur späteren Analyse

Bitte beachten Sie, dass es sich hierbei um eine laufende Kampagne handelt und wir dieses Tool weiterhin aktualisieren werden, sobald weitere Indikatoren für eine Bedrohung (IoCs) und Informationen verfügbar werden. Schauen Sie regelmäßig nach Updates. 

  Den Scanner herunterladen auf GitHub.

LIZENZ UND RECHTLICHER HINWEIS: Dieses Tool wird unter der Apache 2.0 Open-Source-Lizenzveröffentlicht. Dieses Tool wird ohne Mängelgewähr und ohne Gewährleistung oder Haftung bereitgestellt.

TECHNISCHER HINWEIS: Dieses Tool automatisiert die Überprüfung von Schwachstellen- und IOC-Informationen in einem laufenden Betriebssystem mit den Berechtigungen des Benutzers, der das Skript ausführt. Es ist KEIN Ersatz für forensische Analysen oder erweiterte Maßnahmen zur Reaktion auf Sicherheitsvorfälle. Raffinierte Angreifer beseitigen häufig Spuren ihres Eindringens, während sie Rootkits einsetzen und Techniken nutzen, um einer Entdeckung zu entgehen. 

Live-Lagebericht vom 7. Mai 2025

Onapsis und Mandiant veranstalten am Mittwoch, dem 7. Mai 2025, um 10:00 Uhr EST / 16:00 Uhr MESZ ein Live-Briefing zu aktuellen Bedrohungen, um folgende Informationen zu vermitteln:

  • Ein detaillierter Einblick in CVE-2025-31324 und dessen Ausnutzung in der Praxis
  • Erkennungs- und Reaktionsstrategien
  • Live-Demonstration des IoC-Scanners
  • Fragen und Antworten mit den Bedrohungsspezialisten von Onapsis und Mandiant

Sehen Sie sich das On-Demand-Webinar an hier.

Weitere technische Analysen finden Sie in unserem SAP Zero-Day Threat Research oder in der Aufzeichnung des Briefings.

Abschließende Empfehlungen

  • Wenden Sie den SAP-Hinweis 3594142 unverzüglich an
  • Führen Sie den IoC-Scanner aus, um Anzeichen für eine Kompromittierung zu erkennen
  • Setzen Sie Ihre SAP-spezifischen Playbooks für die Reaktion auf Vorfälle um

Die Veröffentlichung dieses Tools ist Teil der Bemühungen von Onapsis und Mandiant, Sicherheitsverantwortliche bei kritischen Bedrohungen zu unterstützen. Weitere Informationen zu CVE-2025-31324 und threat intelligence finden Sieim Blog Onapsis Research Labs .

Stichwörter, , , ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen