Gefährliche Schwachstelle in SAP NetWeaver: SuperShell-Angriffe möglich : Staatlich unterstützte Angreifer zielen mit Zero-Day-Exploit auf SAP-Systeme in kritischer Infrastruktur
Ein neuer Zero-Day-Angriff betrifft SAP-Umgebungen weltweit: Die kritische Schwachstelle CVE-2025-31324 wird von chinesischen Angreifern ausgenutzt, um Webshells einzuschleusen – darunter das auf Golang basierende SuperShell. Besonders im Visier sind Unternehmen aus sensiblen Branchen wie Energie, Pharma und Verwaltung.
Die Bedrohungslage rund um SAP-Systeme hat sich drastisch verschärft: Seit dem 29. April 2025 beobachten Sicherheitsanalysten von Forescout Vedere Labs die aktive Ausnutzung der Schwachstelle CVE-2025-31324 (CVSS-Score: 10,0) durch eine bislang unbenannte, aber mutmaßlich chinesische Gruppe mit dem Codenamen Chaya_004. Die Angreifer kompromittieren SAP NetWeaver-Systeme über eine fehlerhafte Schnittstelle namens „/developmentserver/metadatauploader“, die Remote Code Execution (RCE) ermöglicht.
Exploits in freier Wildbahn – schon seit März
In freier Wildbahn wurde die Schwachstelle erstmals Ende letzten Monats von ReliaQuest entdeckt, als Unbekannte in echten Angriffen die Lücke ausnutzten, um versteckte Zugangsmöglichkeiten (Webshells) sowie das Angriffswerkzeug Brute Ratel C4 auf betroffenen Systemen zu installieren.
Das SAP-Sicherheitsunternehmen Onapsis beobachtete bereits ab dem 20. Januar 2025 erste Testangriffe auf seine Ködersysteme. Dabei versuchten Angreifer gezielt, die Schwachstelle mit bestimmten Datenpaketen auszunutzen. Zwischen dem 14. und 31. März wurden dann erfolgreiche Angriffe festgestellt, bei denen die Angreifer Webshells auf den Systemen platzieren konnten– teils automatisiert, teils manuell. Die Google-Tochter Mandiant nennt als Datum der frühesten bekannten Ausnutzung den 12. März 2025.
Ziel der Angriffe ist es, vollständigen Zugriff auf SAP-Systeme zu erhalten – für Spionage, Seitwärtsbewegungen im Netzwerk oder die Vorbereitung weiterführender Attacken mit Tools wie Cobalt Strike oder dem Brute Ratel C4 Framework.
SuperShell: Hochentwickelte Reverse Shell in Golang
Im Zentrum der aktuellen Angriffe steht eine neue Webshell namens SuperShell, die vollständig in Golang geschrieben ist. Die Forescout-Forscher Sai Molige und Luca Barba stellten fest, dass auf derselben IP-Adresse, über die auch Supershell (47.97.42[.]177) betrieben wird, mehrere weitere Ports offen waren. Einer davon, Port 3232 (HTTP), verwendete ein auffälliges, selbst ausgestelltes Zertifikat, das sich fälschlich als Cloudflare ausgab. Das Zertifikat trug unter anderem die Angaben: C=US, O=Cloudflare, Inc, CN=:3232.
Bei weiteren Untersuchungen fanden die Experten heraus, dass über diese Infrastruktur zahlreiche Hacking-Werkzeuge bereitgestellt werden – darunter NPS, SoftEther VPN, Cobalt Strike, Asset Reconnaissance Lighthouse (ARL), Pocassit, GOSINT und GO Simple Tunnel.
Laut Forescout weist die Nutzung chinesischer Cloud-Dienste sowie mehrerer Werkzeuge in chinesischer Sprache klar darauf hin, dass die Angreifer vermutlich aus China stammen.
Zielbranchen: Kritische Infrastruktur weltweit
Wie Onapsis berichtet, sind hunderte SAP-Systeme weltweit betroffen – mit einer Branchenverteilung, die kaum kritischer sein könnte: Energieversorger, Öl- und Gaskonzerne, Pharmaunternehmen, Regierungsbehörden und Medienhäuser. Die Angriffe überschreiten geografische Grenzen und zielen offensichtlich auf strategisch relevante Daten und Systeme ab.
Besorgniserregend ist auch, dass sich inzwischen weitere Akteure – vermutlich opportunistisch – auf die Schwachstelle stürzen, etwa um Webshells zu platzieren oder Kryptowährungen zu schürfen.
Verteidigung: Was Unternehmen jetzt tun müssen
Angesichts der hohen Kritikalität ist schnelles Handeln gefragt. Forescout und Onapsis empfehlen folgende Maßnahmen:
- Patches für CVE-2025-31324 sofort einspielen (falls nicht bereits geschehen)
- Zugriff auf den Endpoint „/metadatauploader“ restriktiv absichern
- Visual Composer deaktivieren, falls nicht aktiv im Einsatz
- Systeme und Netzwerke auf Anomalien überwachen, insbesondere auf Webshell-Aktivitäten
- Reverse Shells wie SuperShell und verwandte Payloads blockieren, z. B. durch Signaturen oder Netzwerkanalyse
Der Onapsis-CTO Juan Pablo JP Perez-Etchegoyen erklärte, dass die von Forescout beobachteten Angriffe erst nach Veröffentlichung des Sicherheitsupdates stattgefunden haben. Das macht die Lage besonders kritisch: Bereits eingeschleuste Webshells werden nun nicht nur von weniger erfahrenen Angreifern genutzt, sondern auch von professionellen Hackergruppen, die sehr schnell auf die Schwachstelle reagiert haben, um bestehende Zugänge weiter auszubauen und für neue Angriffe zu nutzen.
CVE-2025-31324 zeigt erneut, wie kritisch Schwachstellen in ERP-Systemen sein können – vor allem, wenn sie von koordinierten, staatlich unterstützten Gruppen ausgenutzt werden. Unternehmen sollten SAP-Systeme nicht als interne Blackbox behandeln, sondern in eine ganzheitliche Sicherheitsstrategie integrieren.