Neuer Exploit für die kritische SAP-Sicherheitslücke CVE-2025-31324 im Umlauf
Neuer öffentlicher Exploit für kritische SAP-Sicherheitslücken veröffentlicht
Heutehat VX Underground auf X (ehemals Twitter)1 einen funktionierenden und missbrauchsfähigen Exploit für die kritische SAP-Sicherheitslückeveröffentlicht: CVE-2025-31324. Dieser Exploit wurde angeblich von „Scattered LAPSUS$ Hunters – ShinyHunters“ in einer Telegram-Gruppe veröffentlicht. Diese Sicherheitslücke wurde kürzlich als Zero-Day von mehreren hochentwickelten Hackergruppen ausgenutzt und später von SAP in der Sicherheitsmitteilung 3594142 für CVE-2025-31324 und Sicherheitshinweis 3604119 für CVE-2025-42999 behoben.
Es ist üblich, dass weitere Angriffswellen folgen, sobald Exploit-Code öffentlich zugänglich gemacht wird. SAP-Kunden sollten daher besonders wachsam sein und sicherstellen, dass sowohl ihre Sicherheitsmaßnahmen als auch ihre Patches auf dem neuesten Stand sind.
Die wichtigsten Details zum Exploit auf einen Blick
- Am 15. August 2025 veröffentlichte VX Underground einen Exploit, der auf die Schwachstellen CVE-2025-31324 und CVE-2025-42999 abzielt.
- Dieser Exploit wurde angeblich von „Scattered LAPSUS$ Hunters – ShinyHunters“ in einer Telegram-Gruppe veröffentlicht.
- Alle diese Sicherheitslücken wurden von SAP bereits im April und Mai umgehend behoben; es ist von entscheidender Bedeutung, dass Unternehmen ihre SAP-Systeme stets auf dem neuesten Stand halten, um künftige Ausnutzungsversuche zu verhindern.
- Der Exploit könnte in anderen Kontexten wiederverwendet werden, in denen Deserialisierungsschwachstellen in SAP-Komponenten bestehen.
- Onapsis-Kunden verfügen bereits über einen umfassenden Schutz vor diesen Sicherheitslücken direkt im Produkt.
- Von Onapsis und Mandiant werden Open-Source-Scanner zur Verfügung gestellt, mit denen SAP-Umgebungen analysiert und bekannte Anzeichen für eine Kompromittierung im Zusammenhang mit CVE-2025-31324 und CVE-2025-42999 identifiziert werden können.
Die Bedrohung verstehen: Die Kette CVE-2025-31324 und CVE-2025-42999
Der kürzlich bekannt gewordene Exploit ist ein ausgeklügelter zweistufiger Prozess, der zwei kritische SAP-Sicherheitslücken ausnutzt. Wir werden zunächst den ersten Einstiegspunkt dieser Angriffskette untersuchen.
Die Sicherheitslücke durch fehlende Authentifizierung: CVE-2025-31324
Die unter der Kennung CVE-2025-31324 erfassten und in Kombination mit CVE-2025-42999 ausgenutzten Schwachstellen sind eine Kombination aus zwei kritischen Sicherheitslücken in SAP NetWeaver Visual Composer mit einem CVSS-Wert von 10,0 – der höchstmöglichen Schweregradbewertung. Diese Schwachstellen ermöglichen es einem nicht authentifizierten Angreifer, beliebige Befehle auf dem betroffenen SAP-System auszuführen, einschließlich des Hochladens beliebiger Dateien. Dies kann zur Remote-Code-Ausführung (RCE) und zur vollständigen Übernahme des betroffenen Systems sowie der SAP-Geschäftsdaten und -prozesse führen. Die Schwachstelle wurde in der Praxis aktiv ausgenutzt, was sie zu einer eindeutigen und unmittelbaren Gefahr für Unternehmen mit nicht gepatchten SAP-Systemen macht. Onapsis veröffentlicht seit April 2025 alle Informationen zu diesen kritischen Schwachstellen, einschließlich Open-Source-Scannern und Indikatoren für Kompromittierung.
🔗 Den Scanner herunterladen auf GitHub.
Das Deserialization-Gadget: Verkettung von Exploits zur Remote-Code-Ausführung
Der kürzlich bekannt gewordene Exploit, auf den die Cybersicherheits-Community aufmerksam gemacht hat, ist nicht nur ein einfacher Proof-of-Concept für die Schwachstelle beim Datei-Upload. Er verknüpft auf raffinierte Weise CVE-2025-31324 mit einer Deserialisierungsschwachstelle, die nun als CVE-2025-42999 identifiziert wurde. Diese wurde SAP von den Onapsis Research Labs gemeldet, nachdem sie über unser Global SAP Threat Intelligence als aktiv ausgenutzt erkannt worden war.
Dieser Exploit bestätigt erneut, dass diese Schwachstellen nicht nur zum Einrichten von Webshells genutzt werden können, sondern auch zum „Live-off-the-Land“-Angriff, bei dem Betriebssystembefehle direkt ausgeführt werden, ohne dass Artefakte auf dem Zielsystem installiert werden müssen. Diese Befehle werden mit SAP-Administratorrechten (adm) ausgeführt, was zu uneingeschränktem Zugriff auf SAP-Daten und Systemressourcen führt.
Im Wesentlichen nutzen die Angreifer zunächst die Schwachstelle im Zusammenhang mit fehlender Authentifizierung (CVE-2025-31324), um ohne Authentifizierung auf die kritische Funktionalität zuzugreifen und ihre schädliche Nutzlast auf den Server zu übertragen. Anschließend nutzen sie die Deserialisierungsschwachstelle (CVE-2025-42999) aus, um die schädliche Payload zu deserialisieren und diesen Code mit den Berechtigungen des SAP-Systems auszuführen. Diese Kombination ermöglicht einen verheerenden Angriff, der von einem nicht authentifizierten Angreifer initiiert werden kann.
Die Veröffentlichung dieses Deserialisierungs-Gadgets ist besonders besorgniserregend, da es in anderen Kontexten wiederverwendet werden kann, beispielsweise zum Ausnutzen der Deserialisierungsschwachstellen, die kürzlich im Juli von SAP behoben wurden und von Onapsis entdeckt und gemeldet worden waren (SAP-Patch-Day im Juli 2025: Rekordzahl an Patches und kritische Deserialisierungsschwachstellen):
- SAP-Sicherheitshinweis 3578900 zu CVE-2025-30012 (CVSS 10)
- SAP-Sicherheitshinweis 3620498 zu CVE-2025-42980 (CVSS 9.1)
- SAP-Sicherheitshinweis 3610892 zu CVE-2025-42966 (CVSS 9.1)
- SAP-Sicherheitshinweis 3621771 zu CVE-2025-42963 (CVSS 9.1)
- SAP-Sicherheitshinweis 3621236 zu CVE-2025-42964 (CVSS 9.1)
Dies eröffnet potenziell neue Angriffsvektoren in anderen Bereichen von SAP-Anwendungen. Es handelt sich um ein wirkungsvolles Werkzeug im Arsenal eines Angreifers, und seine Veröffentlichung in der Wildnis ist ein bedeutendes Ereignis. Unternehmen sollten sicherstellen, dass diese SAP-Sicherheitslücken auch in ihren Umgebungen umgehend behoben wurden.
Angreifer verfügen über fundierte Kenntnisse über SAP
Dieser kürzlich veröffentlichte Exploit belegt, dass die Angreifer über fundierte Kenntnisse der SAP-Anwendungen verfügen. Dies zeigt sich zum einen in der Verwendung spezifischer benutzerdefinierter SAP-Klassen als zentrale Bausteine des Gadgets, wie beispielsweise com.sap.sdo.api.* oder com.sap.sdo.impl.*, und zum anderen in der Anpassung der Payload an die jeweilige SAP-NetWeaver-Version:
| elif „local class serialVersionUID = -7308740002576184038″ in response.text: print(„[+] Version 7.5 gefunden”) newContent = newContent.replace(b”xF4x51xDCxAAx00xB6xF0xCC”, b”x9Ax92x23xB0xE6xC2x4Dx1A”) |
So Defend Sie Defend SAP-Systeme heute
WICHTIGER HINWEIS: Es handelt sich hierbei nicht um eine neue SAP-Sicherheitslücke, sondern um einen neuen (und öffentlich bekannten) Exploit für ein bekanntes Problem. Wenn Sie dieses Problem bereits geprüft (Indikatoren für eine Kompromittierung überprüft) und die SAP-Sicherheitshinweise 3594142 und 3604119 angewendet haben, sind Sie nicht anfällig für Angriffe mit diesem neuen Exploit. In diesem Fall sind keine sofortigen Maßnahmen erforderlich, wir empfehlen jedoch dringend, die folgenden Schritte sowie die anderen damit verbundenen Sicherheitslücken und Sicherheitshinweise zu überprüfen.
Unmittelbare Risiken für Ihre SAP-Systeme
Die frühere aktive Ausnutzung durch erfahrene Angreifer in Verbindung mit dem nun öffentlich zugänglichen Exploit und dem Deserialisierungs-Gadget macht es für betroffene Organisationen unerlässlich, unverzüglich Maßnahmen zu ergreifen. Die potenziellen Folgen einer erfolgreichen Ausnutzung sind schwerwiegend und können Folgendes umfassen:
- Vollständige Kompromittierung des Systems
- Diebstahl sensibler Unternehmens- und Kundendaten
- Störung kritischer Geschäftsabläufe
- Finanzielle, rufschädigende und regulatorische Auswirkungen
Sofortmaßnahmen: Installieren Sie die neuesten SAP-Sicherheitspatches
Installieren Sie die neuesten Sicherheitspatches von SAP an. Beheben Sie insbesondere die Sicherheitslücken, die in den folgenden SAP-Sicherheitshinweisen behandelt werden:
a. 3594142 (für CVE-2025-31324) (CVSS 10)
b. 3604119 (für CVE-2025-42999) (CVSS 9.1)
c. 3578900 (für CVE-2025-30012) (CVSS 10)
d. 3620498 (für CVE-2025-42980) (CVSS 9.1)
e. 3610892 (für CVE-2025-42966) (CVSS 9.1)
f. 3621771 (für CVE-2025-42963) (CVSS 9.1)
g. 3621236 (für CVE-2025-42964) (CVSS 9.1)
Weitere Maßnahmen zum Schutz Ihrer Umwelt
- Überprüfen und beschränken Sie den Zugriff auf SAP-Anwendungen, insbesondere aus dem Internet.
- Überwachen Sie SAP-Anwendungen auf Anzeichen einer Kompromittierung, wie beispielsweise unerwartete Datei-Uploads oder ungewöhnliche Prozesse.
Die Bekanntgabe dieses neuen Exploits macht deutlich, dass sich die Bedrohungslage ständig weiterentwickelt. Sie unterstreicht, wie wichtig ein proaktiver und wachsamer Sicherheitsansatz ist, insbesondere im Zusammenhang mit geschäftskritischen Anwendungen wie SAP.
Onapsis-Produktabdeckung und proaktive Abwehr
Wenn eine neue Bedrohung auftaucht, ist eine umfassende Sicherheitslösung von entscheidender Bedeutung. Onapsis bietet eine zuverlässige, produktintegrierte Abdeckung, mit der Sie die Risiken dieser spezifischen Schwachstellen minimieren können.
Umfassende Abdeckung für CVE-2025-31324 und CVE-2025-42999
Onapsis hat eine umfassende Anleitung veröffentlicht unter Assess und Defend für ALLE oben genannten Schwachstellen veröffentlicht. Für die ursprüngliche Schwachstelle (CVE-2025-31324), die bei der Angriffskampagne ausgenutzt und am 24. April 2025 behoben wurde, Platform die Platform innerhalb weniger Stunden nach Meldung des Angriffs aktualisiert. Dieser Support umfasste die Möglichkeit, anfällige Systeme zu identifizieren, die Überwachung auf Versuche, ein noch anfälliges System auszunutzen, sowie einen Artikel im Threat Intel Center, der als zentrale Anlaufstelle für alle Informationen und Daten im Zusammenhang mit dieser sich entwickelnden Bedrohung dient. Der Onapsis-Produktsupport für die ursprünglichen Angriffe und die Sicherheitshinweise bietet eine korrekte Abdeckung für den in diesem Blog besprochenen, neu veröffentlichten Exploit.
Onapsis-Kunden können ihre gesamte Infrastruktur einem Assessment-Scan unterziehen, um Systeme zu identifizieren, auf denen anfällige Komponenten installiert und nicht gepatcht sind – einschließlich solcher, für die Ihre Teams noch keine SAP-Workarounds implementiert haben. Durch fortlaufende automatische Scans können Sie Ihre Fortschritte bei der Behebung der Schwachstellen in den betroffenen Systemen verfolgen und das Risiko einer Kompromittierung Ihrer Umgebung beseitigen. Zusätzliche Assess überprüfen Java-Systeme auf Indikatoren für Kompromittierung (IoCs) im Zusammenhang mit den Sicherheitslücken.
Defend Onapsis Defend können Interaktionen mit der anfälligen Komponente automatisch überwachen und werden benachrichtigt, wenn POST-, GET- und HEAD-Anfragen an eine anfällige SAP Visual Composer-Komponente gesendet werden. Eine zusätzliche Defend kann Sie benachrichtigen, wenn auf bekannte Webshells in Ihrer SAP-Umgebung zugegriffen wird.
Onapsis hat in Zusammenarbeit mit Mandiant zudem Open-Source-Scanner für CVE-2025-31324 und CVE-2025-42999 veröffentlicht. Weitere Informationen sowie die Scanner zum Herunterladen finden Sie auf der Onapsis-GitHub-Seite.
Für umfassende Informationen zu unserem gesamten Produktportfolio sowie einen detaillierten Einblick in die Angriffskampagne, die auf die Schwachstellen CVE-2025-31324 und CVE-2025-42999 abzielt, lesen Sie bitte unseren früheren Blogbeitrag.
Häufig gestellte Fragen
Worauf zielt der neue Exploit ab?
Der neue Exploit zielt auf eine Kombination aus zwei kritischen SAP-Sicherheitslücken ab: CVE-2025-31324 und CVE-2025-42999, die zusammen dazu genutzt werden können, um die Ausführung von Remote-Code (RCE) zu erreichen und die vollständige Kontrolle über das System zu erlangen.
Handelt es sich hierbei um eine neue Sicherheitslücke in SAP?
Nein, es handelt sich hierbei nicht um eine neue Sicherheitslücke. Es handelt sich um einen neuen, öffentlich veröffentlichten Exploit für bekannte Sicherheitslücken, die bereits im April und Mai von SAP behoben wurden.
Was ist das „Deserialisierungs-Gadget“?
Der Begriff „Deserialisierungs-Gadget“ bezeichnet die bösartige Nutzlast, die die beiden Sicherheitslücken miteinander verknüpft. Er nutzt die Sicherheitslücke bei der unsicheren Deserialisierung (CVE-2025-42999) aus, um Code auszuführen, nachdem die ursprüngliche Sicherheitslücke aufgrund fehlender Authentifizierung (CVE-2025-31324) ausgenutzt wurde.
Wer hat den öffentlichen Exploit veröffentlicht?
Der öffentliche Exploit wurde am 15. August 2025 von VX Underground veröffentlicht und angeblich von „Scattered LAPSUS$ Hunters – ShinyHunters“ herausgegeben.
Welche möglichen Folgen hat dieser Exploit?
Eine erfolgreiche Ausnutzung kann schwerwiegende Folgen haben, darunter die vollständige Kompromittierung des Systems, den Diebstahl sensibler Daten, die Störung kritischer Geschäftsabläufe sowie erhebliche finanzielle Einbußen oder Reputationsschäden.
Wie kann ich meine SAP-Systeme vor dieser Sicherheitslücke schützen?
Um Ihre Systeme zu schützen, müssen Sie unverzüglich die neuesten SAP-Sicherheitshinweise installieren, insbesondere die Nummern 3594142 und 3604119. Es wird außerdem empfohlen, die Zugriffsrechte auf SAP-Anwendungen zu überprüfen und einzuschränken sowie auf Anzeichen einer Kompromittierung zu achten.
Bietet Onapsis Schutz vor dieser Sicherheitslücke?
Ja, Onapsis bietet in seinen Assess Defend umfassende Abdeckung aller genannten Schwachstellen, einschließlich derjenigen, die bei dieser Angriffskampagne ausgenutzt wurden. Die Platform bereits wenige Stunden nach Bekanntwerden des ursprünglichen Angriffs entsprechend aktualisiert.
Über SAP-Zero-Days und aktuelle CVEs auf dem Laufenden bleiben
Das Webinar „SAP Zero-Day Wake-Up Call“: Jetzt als Aufzeichnung verfügbar
Falls Sie unsere Live-Podiumsdiskussion mit Sicherheitsverantwortlichen von Mandiant (Charles Carmakal, CTO), EclecticIQ (Cody Barrow, CEO), NightDragon (Dave DeWalt, CEO) und Onapsis (Mariano Nunez, CEO) verpasst haben, können Sie sich nun die vollständige Aufzeichnung ansehen.
Sehen Sie sich die Sitzung noch heute an, um zu erfahren, was diese Flut von Zero-Day-Exploits und CVEs für Unternehmen wirklich bedeutet und wie Sie defend kritischen Ressourcen vor raffinierten Angreifern defend .
Über den Autor
