Schutz vor Zero-Day-Sicherheitslücken bei SAP: CVE-2025-31324 & CVE-2025-42999

Neue Sicherheitslösungen zum Schutz von SAP vor Ransomware und Datenlecks

Eine Frau sitzt an einem Computer, umgeben von abstrakten Darstellungen von Programmierung und Technologie

CVE-2025-31324

Notfall-Patch veröffentlicht

Am 24. April 2025 veröffentlichte SAP einen Notfall-Patch für eine Zero-Day-Sicherheitslücke mit einem CVSS-Wert von 10,0, die SAP Visual Composer betrifft – eine optionale, aber weit verbreitete Komponente, die weltweit in 50 bis 70 % der SAP-Java-Systeme installiert ist.

CVE-2025-31324

Bestätigte aktive Ausnutzung

Diese Sicherheitslücke wird derzeit aktiv ausgenutzt, wie von Onapsis Threat Intelligence mehreren IR-Unternehmen und Sicherheitsforschern festgestellt wurde. Sie wurde erstmals von ReliaQuest öffentlich gemeldet.

CVE-2025-42999

Gemeinsam ausgebeutet

Onapsis Research Labs hat festgestellt, dass CVE-2025-31324 häufig zusammen mit CVE-2025-42999 (unsichere Deserialisierung in SAP Visual Composer) für die nicht authentifizierte Remote-Codeausführung genutzt wird. SAP hat dies mit dem Sicherheitshinweis 3604119 (13. Mai 2025) behoben. Die Installation beider Patches ist unerlässlich.

CVE-2025-42999

Verkettete Sicherheitslücken ermöglichen unauthentifizierte Remote-Code-Ausführung

CVE-2025-42999 wird in Kombination mit CVE-2025-31324 deutlich gefährlicher, da Angreifer dadurch in die Lage versetzt werden, schädliche Payloads ohne Authentifizierung hochzuladen und auszuführen. Diese Kombinationsmethode wurde bereits bei realen Angriffen beobachtet und führt zur vollständigen Remote-Codeausführung.

Frau, die am Computer arbeitet

Lesen Sie unsere Informationsseite, um mehr über die Bedrohung und die möglichen geschäftlichen Auswirkungen dieser kritischen Zero-Day-Sicherheitslücke zu erfahren und Empfehlungen sowie Tools zur Risikominderung zu erhalten:

  • Einzelheiten zu den Sicherheitslücken CVE-2025-31324 und CVE-2025-42999.
  • Bericht über aktive Angriffe in freier Wildbahn und Beobachtungen von Onapsis Research Labs.
  • Wie Sie feststellen können, ob Sie ausgenutzt wurden.
  • Empfehlungen dazu, wie Sie diese Sicherheitslücke in Ihren kritischen SAP-Systemen beheben oder abmildern können.
  • Erhalten Sie Zugriff auf Open-Source-Scan-Tools und eine YARA-Regel von Onapsis Research Labs.
Lesen Sie die neuesten Sicherheitswarnungen

Eine Analyse der Sicherheitslücken CVE-2025-31324 und CVE-2025-42999

CVE-2025-31324 ist eine kritische Zero-Day-Sicherheitslücke in der SAP NetWeaver Visual Composer-Komponente mit einem CVSS-Wert von 10,0. Diese Schwachstelle wird derzeit aktiv ausgenutzt und ermöglicht die nicht authentifizierte Remote-Code-Ausführung (RCE), wodurch sie ein unmittelbares Risiko für anfällige SAP-Java-Systeme darstellt. In vielen beobachteten Angriffen wird sie mit CVE-2025-42999, einer verwandten Deserialisierungsschwachstelle, kombiniert, um eine vollständige Kompromittierung des Systems ohne vorherigen Zugriff zu ermöglichen.

Betroffene Komponente

Die Sicherheitslücken befinden sich im Endpunkt „developmentserver/metadatauploader“ innerhalb von SAP Visual Composer (NetWeaver 7.x). Obwohl Visual Composer standardmäßig nicht installiert ist, ist es in etwa 50–70 % der SAP-Java-Systeme aktiviert, da es in der Vergangenheit für die Entwicklung von Geschäftsanwendungen ohne Programmieraufwand genutzt wurde. Sowohl CVE-2025-31324 als auch CVE-2025-42999 nutzen diese Komponente aus – die eine ermöglicht nicht authentifizierte Datei-Uploads, die andere nutzt unsichere Deserialisierung zur Codeausführung.

Ausbeutungsmethode

Angreifer nutzen diese Schwachstelle aus, indem sie nicht authentifizierte HTTP-POST -Anfragen an den anfälligen Endpunkt senden, wodurch das Hochladen beliebiger Dateien ermöglicht wird – typischerweise Web-Shells wie „helper.jsp“ oder „cache.jsp“. In beobachteten Angriffsketten enthält die hochgeladene Nutzlast häufig serialisierte Objekte, die bei der Deserialisierung die Schwachstelle CVE-2025-42999 auslösen und so die Ausführung von Code ermöglichen. Eine erfolgreiche Ausnutzung führt zu einer vollständigen Kompromittierung des Systems mit Administratorrechten.

Erkennung und Anzeichen für eine Kompromittierung

Systeme, die über CVE-2025-31324 kompromittiert wurden, enthalten häufig verdächtige .jsp-, .class- oder .java-Dateien in den folgenden Verzeichnissen:

  • /irj/root/
  • /irj/arbeit/
  • /irj/work/sync/

Achten Sie bei Angriffsketten, dieCVE-2025-42999 betreffen, auf Hinweise auf serialisierte Java-Objekte oder Payloads im Zusammenhang mit der Deserialisierung, die in hochgeladenen Dateien eingebettet sind. Siehe SAP-Hinweis 3596125 .

Anleitung zur Risikominderung und zur Installation von Patches

  • Installieren Sie den Notfall-Patch aus dem SAP-Sicherheitshinweis 3594142, um die Sicherheitslücke CVE-2025-31324 zu beheben
  • Installieren Sie den SAP-Sicherheitshinweis 3604119, veröffentlicht am 13. Mai 2025, um die Sicherheitslücke CVE-2025-42999 zu beheben
  • Falls ein Patch nicht sofort installiert werden kann, befolgen Sie die Maßnahmen zur Risikominderung in SAP-Hinweis 3593336
  • Onapsis Assess ermöglicht die Identifizierung von Systemen ohne Patches in Ihrer gesamten SAP-Landschaft
  • Onapsis Defend erkennt und meldet böswillige POST-Aktivitäten, die auf SAP Visual Composer abzielen
Details und Zeitachse zu CVE-2025-31324 Details und Zeitachse zu CVE-2025-42999 Anzeichen für eine Kompromittierung Beobachtete IP-Adressen Auswirkungen von CVE-2025-31324 auf das Geschäft Maßnahmen zur Behebung von CVE-2025-31324

Warum Onapsis Research Labs?

Onapsis Research Labs hat im Januar 2025 als erstes Aufklärungsaktivitäten im Zusammenhang mit CVE-2025-31324 beobachtet, Wochen bevor die Sicherheitslücke offiziell identifiziert wurde. Seitdem hat unser Team:

  • Aktive Ausnutzung in verschiedenen Kundenumgebungen wurde festgestellt und dokumentiert
  • in enger Abstimmung mit SAP und den Incident-Response-Teams
  • In Zusammenarbeit mit Mandiant wurde ein Open-Source-IOC-Scanner veröffentlicht
  • Bereitstellung umfassender threat intelligence und Leitlinien zur Risikominderung für die SAP-Sicherheitsgemeinschaft

Als weltweit erfahrenstes SAP-Cybersicherheits-Forschungsteam ist Onapsis weiterhin führend in den Bereichen Echtzeit-Erkennung, schnelle Reaktion und umsetzbare Erkenntnisse. Nachstehend finden Sie weitere Informationen zur SAP-Sicherheit sowie Ressourcen zu CVE-2025-31324:

WEBINAR AUF ABRUF

Onapsis und Mandiant: Neueste Erkenntnisse zu CVE-2025-31324

Kritische SAP-Zero-Day-Sicherheitslücke wird derzeit aktiv ausgenutzt

In diesem Webinar mit Mandiant erhalten Sie aus erster Hand Einblicke von führenden threat intelligence über die aktive SAP-Zero-Day-Sicherheitslücke (CVE-2025-31324), ihre praktischen Auswirkungen und darüber, wie Ihr Team effektiv darauf reagieren kann.

Jetzt ansehen

Ähnliche Artikel

Security Week – Nachrichten, Einblicke und Analysen zur Cybersicherheit
Bleeping Computer
Das Register
SAP Insider
ERP heute
Help Net Security

CVE-2025-31324 – Häufig gestellte Fragen

Ja, es ist sehr wahrscheinlich, dass diese Version von NetWeaver Java anfällig ist. Zudem wird diese Version von NetWeaver Java von SAP nicht mehr unterstützt, weshalb SAP keine Sicherheitspatches zur Behebung dieser Sicherheitslücke für diese Version bereitstellen wird. Wir empfehlen, eine der in dem SAP-Hinweis beschriebenen Abhilfemaßnahmen zu befolgen und einen Plan für die Aktualisierung dieses Systems auf eine von SAP unterstützte Version von NetWeaver Java zu erstellen.

Das Einzige, was sich ändert, wenn die SAP-Anwendung nicht mit dem Internet verbunden ist, ist die Häufigkeit der Ausnutzung. Die Sicherheitslücke sollte dennoch als kritisch eingestuft und unverzüglich behoben werden. Aufgrund der Art der Sicherheitslücke und der Art und Weise, wie sie ausgenutzt wird, rechnen wir damit, dass automatisierte Exploit-Tools diese Sicherheitslücke ausnutzen werden oder dass Tools zum Einsatz kommen, die problemlos innerhalb eines Netzwerks ausgeführt werden können. Darüber hinaus könnte dies von schädlicher Software wie Malware oder Ransomware ausgenutzt werden.

Wir sammeln derzeit umfassende Informationen zu den betroffenen Branchen, doch zum gegenwärtigen Zeitpunkt sollte jede kritische Infrastruktur angesichts des Ausmaßes der Onapsis Research Labs Bedrohungsaktivitäten als stark gefährdet eingestuft werden. Angesichts der Art dieser Sicherheitslücke, der Ausnutzung über HTTP und des Ausmaßes der in den letzten Tagen beobachteten Bedrohungsaktivitäten sind jedoch alle Organisationen einem hohen Risiko ausgesetzt.

Im Allgemeinen sind Windows-basierte Betriebssysteme ein bevorzugtes Ziel für Ransomware-Banden, da sie über alle notwendigen Mittel verfügen, um Ransomware einzusetzen; dies beschränkt sich jedoch nicht nur auf Windows. Ich würde nicht davon ausgehen, dass Ihre SAP-Systeme vor einem Ransomware-Angriff sicher sind, nur weil sie auf einem Nicht-Windows-Betriebssystem laufen.

Sie müssen die Komponenten des SAP-Systems auflisten. Wenn „VISUAL COMPOSER FRAMEWORK“ (oder VCFRAMEWORK) installiert ist, ist das System anfällig, es sei denn, Sie wenden den Patch aus dem SAP-Sicherheitshinweis Nr. 3594142 oder die Abhilfemaßnahmen aus dem SAP-KB-Artikel Nr. 3593336 an (die im Wesentlichen darauf abzielen, die Komponente unzugänglich zu machen).

Wenn Sie Onapsis-Kunde sind, können Sie Assess alle Ihre JAVA-Systeme Assess . Assess nicht nur die Systeme, auf denen die Komponente installiert ist, sondern meldet auch ein Problem für alle Systeme, auf denen die Komponente vorhanden ist, die jedoch nicht gegen die Sicherheitslücke geschützt sind.

Am 27. April 2025 Onapsis Research Labs einen Open-Source-Scanner für CVE-2025-31324. Weitere Informationen finden Sie unter „Open-Source-Scanner für CVE-2025-31324 “.

Das hängt davon ab, ob die betroffene Komponente bei der Installation dieses Solution Manager-Systems enthalten war. Sie müssen die JAVA-Komponenten Ihrer Java SID auflisten und dabei nach der Komponente „VISUAL COMPOSER FRAMEWORK“ oder „VCFRAMEWORK“ suchen.

Die Sicherheitslücke wurde von keinem Sicherheitsforscher gemeldet. Es ist nicht bekannt, wer sie entdeckt hat, doch sie wurde in zahlreichen SAP-Anwendungen in großem Umfang ausgenutzt. Es muss betont werden, dass es sich hierbei nicht um das Ergebnis theoretischer Laborforschung handelt, sondern dass diese Sicherheitslücke in der Praxis aktiv und fortlaufend ausgenutzt wird.

Weiterführende Literatur

Möchten Sie sich näher damit befassen? Beginnen Sie mit diesen verwandten Artikeln und besuchen Sie dann unsere Seite „Ressourcen“, um weitere Informationen zu erhalten.

ALLE RESSOURCEN
Zwei Männer, die gemeinsam am Computer programmieren

Mit Onapsis Research Labs Sicherheitslücken immer einen Schritt voraus sein

Cybersicherheit erfordert proaktive Maßnahmen, und der Schutz Ihrer SAP-Systeme vor ausgenutzten Schwachstellen ist von entscheidender Bedeutung. Zögern Sie nicht – wenden Sie sich noch heute an uns, um die Sicherheit Ihrer SAP-Umgebung zu verbessern. Gemeinsam können wir sicherstellen, dass Ihre Systeme widerstandsfähig bleiben und vor neuen Bedrohungen geschützt sind.

Kontaktieren Sie uns