SAP NetWeaver im Visier chinesischer APT-Gruppen : Zwei Zero-Day-Exploits in SAP NetWeaver ermöglichen Remote-Zugriff – gezielte Angriffe auf kritische Infrastrukturen weltweit bestätigt.
Eine kritische Schwachstelle in SAP NetWeaver wird derzeit aktiv von mehreren chinesischen Staatshackern ausgenutzt – mit ernsten Folgen für kritische Infrastrukturen weltweit. Betroffen sind unter anderem Energieversorger, Medizintechnikhersteller und Ministerien.
Eine kürzlich bekannt gewordene Sicherheitslücke in SAP NetWeaver sorgt international für Alarm: Die Schwachstelle mit der Kennung CVE-2025-31324 erlaubt eine nicht authentifizierte Dateiübertragung und damit Remote Code Execution – ein Türöffner für gezielte Cyberangriffe auf Unternehmen und Behörden. Besonders brisant: Gleich mehrere chinesische Hackergruppen mit mutmaßlichem staatlichem Auftrag nutzen die Lücke, um sich Zugang zu sensiblen Netzwerken zu verschaffen.
Zu den Zielen der Angriffe zählen Betreiber von Gasversorgungsnetzen, Wasser- und Abfallwirtschaftsunternehmen im Vereinigten Königreich, Medizingerätehersteller sowie Öl- und Gasunternehmen in den Vereinigten Staaten. Auch Ministerien in Saudi-Arabien, die für Investitionsstrategien und Finanzaufsicht zuständig sind, stehen auf der Liste.
Die Bedrohungslage wurde durch die Analyse eines öffentlich zugänglichen Verzeichnisses auf einem kompromittierten Server („15.204.56[.]106“) deutlich, das umfangreiche Protokolle kompromittierter Systeme enthielt. Sicherheitsexperten von EclecticIQ und Onapsis führen die Attacken auf mehrere bekannte Bedrohungsgruppen zurück: UNC5221, UNC5174 sowie CL-STA-0048. Letztere war bereits in der Vergangenheit durch Angriffe auf hochrangige Ziele in Südasien aufgefallen.
Systematisch, gezielt, technisch ausgefeilt
Die Angreifer setzen auf ein mehrstufiges Vorgehen: Zunächst wird die Schwachstelle CVE-2025-31324 genutzt, um ohne Authentifizierung Web Shells auf SAP-Systemen zu platzieren. Diese dienen zur Fernsteuerung und ermöglichen unter anderem die Ausführung beliebiger Befehle sowie das Nachladen weiterer Schadsoftware. Dabei kommen Werkzeuge wie „KrustyLoader“, „SNOWLIGHT“ oder der Go-basierte Remote-Zugangstrojaner „VShell“ zum Einsatz. Die Angreifer sichern sich so dauerhaft Zugriff und bauen ihre Infrastruktur unbemerkt aus.
Auf den analysierten Servern fanden sich Beweise für über 580 kompromittierte SAP-Systeme sowie eine Liste mit 800 potenziellen Ziel-Domains. Die systematische Planung und die breite Streuung der Ziele belegen: Hier agieren hochprofessionelle Gruppen mit langfristiger strategischer Absicht.
Zweite Schwachstelle entdeckt – dringender Handlungsbedarf
Nur wenige Tage vor der aktuellen Offenlegung wurde ein weiterer, bislang nicht namentlich bekannter China-naher Bedrohungsakteur identifiziert, intern unter dem Namen Chaya_004 geführt. Auch er nutzt die Schwachstelle CVE-2025-31324 gezielt aus, hier, um eine Go-basierte Reverse Shell namens SuperShell in SAP-Systeme einzuschleusen.
Das SAP-Sicherheitsunternehmen Onapsis berichtet unterdessen von einer auffälligen Zunahme gefährlicher Aktivitäten: Angreifer nutzen öffentlich verfügbare Informationen, um die Schwachstelle gezielt auszunutzen. Sie missbrauchen dabei Web Shells, die von den ursprünglichen Angreifern installiert wurden, obwohl diese inzwischen weitgehend inaktiv sind.
Im Zuge weiterer Analysen stießen die Sicherheitsexperten auf eine zusätzliche kritische Schwachstelle im Modul Visual Composer Metadata Uploader von SAP NetWeaver. Die unter CVE-2025-42999 registrierte Lücke (CVSS-Score: 9,1) beschreibt eine gefährliche, unsichere Deserialisierung. Sie kann von Benutzern mit der Rolle VisualComposerUser dazu verwendet werden, manipulierte Inhalte in das System einzuschleusen.
„Was im Januar mit ersten Scans begann, hat sich im März zu einer koordinierten Angriffswelle entwickelt“, so Juan Pablo (JP) Perez-Etchegoyen, CTO von Onapsis. „Dabei werden zwei Schwachstellen gleichzeitig ausgenutzt – die fehlende Authentifizierung bei Datei-Uploads (CVE-2025-31324) und die unsichere Deserialisierung (CVE-2025-42999). In Kombination ermöglichen sie es Angreifern, beliebige Befehle aus der Ferne und ohne Zugangsbeschränkungen auszuführen.“
SAP hat inzwischen mit Security Notes reagiert: Unternehmen, die SAP Security Note 3594142 bereits umgesetzt haben, konnten das Risiko der ersten Schwachstelle deutlich reduzieren. Um jedoch auch die zweite Schwachstelle CVE-2025-42999 zu schließen, ist zusätzlich die Umsetzung von Security Note 3604119 notwendig.
SAP-Systeme jetzt absichern
Die aktuellen Erkenntnisse zeigen eindrücklich, wie gezielt und effizient staatlich gesteuerte Angreifer kritische IT-Infrastruktur kompromittieren. Insbesondere Systeme wie SAP NetWeaver, die tief in die Prozesslandschaften eingebunden sind, stehen im Fokus.
Organisationen sollten umgehend prüfen, ob ihre SAP-Systeme betroffen sind, und die bereitgestellten Sicherheitsupdates anwenden. Nur durch schnelle Reaktion, konsequente Härtung der Systeme und regelmäßige Überprüfung der Internet-Exposition lässt sich die Gefahr langfristig eindämmen.