ISGroup Cybersicherheitsberatung

CVE-2025-31324 – Kritische Remote Code Execution-Schwachstelle in SAP NetWeaver Visual Composer

CVE‑2025‑31324 ist eine kritische Zero-Day-Schwachstelle (CVSS 10.0) in der Komponente Visual Composer (VCFRAMEWORK) von SAP NetWeaver, die am 22. April 2025 veröffentlicht wurde. SAP hat am 24. April 2025 einen Notfall-Patch bereitgestellt. SAP NetWeaver Visual Composer ist in NetWeaver Java-Systemen häufig aktiviert – auch wenn es nicht standardmäßig installiert ist –, da es Geschäftsanalysten ermöglicht, Anwendungen ohne Programmierung zu erstellen. Die Schwachstelle wurde seit Mitte März 2025 aktiv ausgenutzt: Angreifer haben JSP-Webshells (z. B. helper.jsp, cache.jsp) eingesetzt, um Persistenz zu erlangen und Befehle mit den Berechtigungen des SAP-Systemprozesses auszuführen.

ProduktSAP NetWeaver
Datum31.07.2025 10:30:37
Informationen
  • Fix verfügbar
  • Aktive Ausnutzung

Technische Zusammenfassung

Die Sicherheitslücke resultiert aus einer fehlenden Autorisierungsprüfung im Endpunkt /developmentserver/metadatauploader von Visual Composer. Dies ermöglicht es nicht authentifizierten Angreifern, beliebige Dateien auf den Server hochzuladen, was zu einer Remote Code Execution (RCE) mit SAP-Anwendungsberechtigungen führt. Nach der Ausnutzung platzieren Angreifer üblicherweise bösartige JSP-Webshells in Verzeichnissen wie /j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root/, wodurch sie Fernzugriff und die vollständige Kontrolle über das System erlangen (sowohl in Linux- als auch in Windows-Umgebungen). Die Auswirkungen umfassen die vollständige Kompromittierung der SAP-Umgebung: Angreifer können Systembefehle ausführen, auf Datenbanken zugreifen, Finanzdaten oder PII (personenbezogene Daten) verändern, Ransomware verbreiten, sich seitlich im Netzwerk bewegen (Lateral Movement) und Abwehrmechanismen umgehen. Alle Versionen von SAP NetWeaver Java 7.1x und höher sind anfällig, wenn Visual Composer vorhanden oder aktiviert ist.

Empfehlungen

  • SAP Security Note 3594142 umgehend anwenden: Sie enthält Notfall-Patches, um die fehlende Autorisierungsprüfung in Visual Composer zu beheben.
  • Zusätzlich SAP Security Note 3604119 anwenden: Diese behebt eine weitere Schwachstelle durch unsichere Deserialisierung und beseitigt Restrisiken, die nach dem ersten Patch verbleiben könnten – auch wenn Note 3594142 bereits implementiert wurde.
  • Falls das Patchen nicht möglich ist, implementieren Sie die „Option 0“-Mitigation: Entfernen Sie die Anwendung sap.com/devserver_metadataupload_ear vollständig, wie von SAP empfohlen. Frühere temporäre Lösungen (Option 1 und 2) sind veraltet.
  • Führen Sie eine Kompromittierungsbewertung durch, indem Sie Scanner oder verfügbare Tools nutzen, um Indikatoren für eine Kompromittierung (IoCs) zu finden – suchen Sie nach ungewöhnlichen .jsp-, .java– oder .class-Dateien in den relevanten Verzeichnissen sowie nach bekannten Webshell-Namen wie helper.jsp oder cache.jsp.
  • Überprüfen Sie die HTTP-Zugriffsprotokolle auf den Endpunkt /developmentserver/metadatauploader, um Ausnutzungsversuche zu identifizieren. Nutzen Sie musterbasierte Erkennung oder Dateinamen, um Webshell-Aktivitäten aufzuspüren.
  • Für die Netzwerkverteidigung sollten Schutzmaßnahmen wie Firewall-Regeln oder signaturbasierte Erkennung implementiert werden, um Ausnutzungsversuche zu blockieren. Verwenden Sie Asset-Erkennungstools, um exponierte SAP NetWeaver-Endpunkte zu identifizieren.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *