Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Kritische neue Schwachstelle in SAP NetWeaver aktiv ausgenutzt

Cyberkriminelle haben eine neue Schwachstelle in SAP NetWeaver ins Visier genommen: Mit JSP-Webshells verschaffen sie sich unautorisierten Zugang, schleusen beliebige Dateien ein und bringen Schadcode zur Ausführung.

THN/Stefan Mutschler (freier Journalist)Allgemein
Lesezeit 3 Min.

Laut einem aktuellen Bericht des Cybersicherheitsunternehmens ReliaQuest könnte die aktuelle Angriffswelle entweder auf eine bereits bekannte Schwachstelle wie CVE-2017-9844 oder auf eine bislang nicht öffentlich gemeldete Remote-File-Inclusion-Schwachstelle zurückzuführen sein. Besonders alarmierend: Mehrere betroffene Systeme hatten bereits die neuesten Sicherheitspatches installiert, was auf die Ausnutzung einer Zero-Day-Lücke hindeutet.

Im Mittelpunkt der Angriffe steht der Endpunkt /developmentserver/metadatauploader innerhalb der SAP NetWeaver-Umgebung. Über diesen Angriffspfad gelingt es Angreifern, bösartige, auf JSP basierende Webshells im Verzeichnis servlet_jsp/irj/root/ abzulegen. Dadurch erhalten sie dauerhaften Fernzugriff auf die Systeme – verbunden mit weitreichenden Befugnissen. Konkret ermöglichen diese Webshells:

  • die unautorisierte Übertragung von Dateien,
  • die dauerhafte Kompromittierung der Zielsysteme,
  • die Ausführung von Remote-Code,
  • den Abfluss sensibler Daten.

Weiterentwickelte Angriffstechniken

In einzelnen dokumentierten Fällen setzten die Angreifer das Post-Exploitation-Framework Brute Ratel C4 sowie die Technik „Heaven’s Gate“ ein, um klassische Endpoint-Schutzmechanismen zu umgehen. Auffällig ist, dass zwischen dem ersten Zugriff und der weiteren Ausnutzung oft mehrere Tage vergingen – ein Hinweis darauf, dass möglicherweise Initial Access Broker (IAB) am Werk sind, die Zugriffsdaten anschließend auf Untergrundmärkten weiterverkaufen.

ReliaQuest spricht von einem „alarmierenden Muster“: Die Angreifer kombinieren bekannte Schwachstellen mit kontinuierlich verfeinerten Techniken, um ihre Angriffe noch effektiver zu gestalten.

Da SAP-Systeme häufig bei Regierungsbehörden und Großunternehmen eingesetzt werden, sind sie besonders attraktive Ziele. Weil SAP-Lösungen oft lokal betrieben werden, liegt die Verantwortung für das Einspielen von Patches und Sicherheitsmaßnahmen beim Betreiber selbst. Versäumnisse erhöhen das Risiko gravierender Kompromittierungen erheblich.

Die neue Schwachstelle CVE-2025-31324

Fast zeitgleich zu den Angriffswellen veröffentlichte SAP ein Sicherheitsupdate, das die neu entdeckte Schwachstelle CVE-2025-31324 adressiert. Diese erreicht mit einer CVSS-Bewertung von 10,0 die höchste Schweregradstufe.

„Der Metadata Uploader von SAP NetWeaver Visual Composer verfügt über keinen ausreichenden Autorisierungsschutz. Dadurch können nicht authentifizierte Angreifer potenziell schädliche, ausführbare Dateien hochladen und das Hostsysteм erheblich gefährden“, heißt es in der offiziellen Sicherheitsempfehlung.

Es deutet vieles darauf hin, dass CVE-2025-31324 genau diesen bislang nicht öffentlich bekannten Sicherheitsfehler adressiert, da auch hier die Komponente Metadata Uploader betroffen ist.

Die Enthüllung dieser Schwachstelle erfolgt nur gut einen Monat nach der Warnung der US-Behörde Cybersecurity and Infrastructure Security Agency (CISA), die auf die aktive Ausnutzung einer weiteren kritischen NetWeaver-Schwachstelle (CVE-2017-12637) hingewiesen hatte. Diese hätte es Angreifern ermöglicht, an vertrauliche SAP-Konfigurationsdateien zu gelangen.

Aktuelle Erkenntnisse

ReliaQuest hat inzwischen bestätigt, dass die beobachteten Angriffe tatsächlich auf diese Schwachstelle zurückzuführen sind. Ursprünglich wurde eine Remote-File-Inclusion-Schwachstelle vermutet, doch SAP stellte später klar, dass es sich um eine unbeschränkte Dateiupload-Schwachstelle handelt.

Die SAP-Sicherheitsfirma Onapsis veröffentlichte zusätzliche Details:

  • Die Schwachstelle wird über HTTP- beziehungsweise HTTPS-Protokolle ausgenutzt.
  • Angreifer senden präparierte POST-Anfragen an den Endpunkt /developmentserver/metadatauploader.
  • Eine Authentifizierung ist dafür nicht erforderlich.
  • Erfolgreiche Angreifer laden Webshells hoch und können anschließend beliebige Kommandos im Systemkontext des <sid>adm-Benutzers ausführen.

Mit den Rechten des <sid>adm-Benutzers erhalten Angreifer vollen Zugriff auf alle SAP-Ressourcen, einschließlich der SAP-Systemdatenbank – ohne Einschränkungen. Die Angriffskampagne wurde bislang keiner konkreten Bedrohungsgruppe zugeordnet.

Handlungsempfehlung: Anzeichen einer möglichen Kompromittierung prüfen

Betreiber von SAP-Systemen sollten dringend ihre Systeme auf folgende Indikatoren überprüfen:

  • C:\usr\sap<SID><InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\root
  • C:\usr\sap<SID><InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work
  • C:\usr\sap<SID><InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work\sync

Zudem hat ProjectDiscovery zweiNuclei-Templates veröffentlicht, mit deren Hilfe Unternehmen ihre SAP-Instanzen auf Verwundbarkeit und mögliche Kompromittierung überprüfen können.

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.