CVE-2025-31324-Erkennung: SAP NetWeaver Zero-Day-Exploit unter aktiver Ausnutzung setzt kritische Systeme einer Remote-Code-Ausführung aus

[post-views]
Mai 01, 2025 · 4 min zu lesen
CVE-2025-31324-Erkennung: SAP NetWeaver Zero-Day-Exploit unter aktiver Ausnutzung setzt kritische Systeme einer Remote-Code-Ausführung aus

Zero-Day-Schwachstellen sind keine seltenen Anomalien mehr – sie sind mittlerweile eine Kernwaffe im Arsenal moderner Angreifer, wobei die Ausnutzungsaktivitäten von Jahr zu Jahr zunehmen. Laut der Google Threat Intelligence Group (GTIG) wurden allein im Jahr 2024 75 Zero-Day-Schwachstellen in freier Wildbahn ausgenutzt – ein deutliches Zeichen für die wachsende Bedrohung für geschäftskritische Systeme.

Eine der neuesten kritischen Schwachstellen, die aufgetaucht ist, CVE-2025-31324, ist ein nicht authentifiziertes Dateiupload-Fehler mit maximaler Schwere, das SAP NetWeaver betrifft, eine Kernplattform, die sowohl von Regierungen als auch von großen Unternehmen weit verbreitet genutzt wird. Mit über 1.200 internetzugänglichen SAP NetWeaver-Instanzen, die gefährdet sind, stellt CVE-2025-31324 eine erhebliche Bedrohung dar, die eine vollständige Kompromittierung des Systems ermöglicht.

Erkennung der CVE-2025-31324-Schwachstellenausnutzung

Im Jahr 2024 identifizierte GTIG 33 Zero-Day-Schwachstellen, die in Unternehmenssoftware und -geräten ausgenutzt wurden – Technologien, die hauptsächlich in Geschäftsumgebungen verwendet werden. Bemerkenswerterweise zielten im letzten Jahr 44 % aller Zero-Days auf Unternehmensprodukte ab, was eine klare Eskalation des Angreiferfokus auf geschäftskritische Infrastrukturen markiert. Um potenzielle Risiken effektiv zu mindern, müssen sich Sicherheitsteams auf frühzeitige Identifizierungs- und schnelle Reaktionsstrategien konzentrieren, die den neu auftretenden Bedrohungen, die neu offengelegte Schwachstellen ausnutzen, einen Schritt voraus sind.

Registrieren Sie sich für die SOC Prime Plattform und greifen Sie auf eine Reihe kuratierter Sigma-Regeln zu, die sich mit Ausnutzungsversuchen von CVE-2025-31324 befassen, zusammen mit einer vollständigen Produkt-Suite für KI-gestützte Detection Engineering, automatisierte Bedrohungsjagd und erweiterte Bedrohungserkennung. Drücken Sie einfach den Erfassen Sie Erkennungen Knopf unten, um sofort zu einem relevanten Erkennungs-Stack zu gelangen.

Erfassen Sie Erkennungen

Alle Regeln sind mit mehreren SIEM-, EDR- und Data Lake-Technologien kompatibel und werden auf MITRE ATT&CK® abgebildet, um die Bedrohungsuntersuchung zu rationalisieren. Darüber hinaus wird jede Regel mit umfangreichen Metadaten angereichert, einschließlich CTI Referenzen, Angriffschroniken, Audit-Konfigurationen, Triaging-Empfehlungen und mehr.

Cyber-Verteidiger, die auf der Suche nach relevanterem Content sind, um Cyber-Angriffe zu erkennen, die im Trend liegende Schwachstellen einsetzen, können die gesamte Sammlung der relevanten Erkennungsalgorithmen durch die Suchfunktion des Threat Detection Marketplace mit dem „CVE“ Tag durchsuchen.

Darüber hinaus können Sicherheitsexperten die Bedrohungsuntersuchung mit Uncoder AI – einer privaten IDE & Co-Pilot für bedrohungsinformiertes Detection Engineering – nun komplett kostenlos und ohne Token-Limits für AI-Funktionen verfügbar, optimieren. Generieren Sie Erkennungsalgorithmen aus Rohbedrohungsberichten, ermöglichen Sie schnelle IOC-Sweeps in performanceoptimierte Abfragen, prognostizieren Sie ATT&CK-Tags, optimieren Sie Abfragecodes mit KI-Tipps, und übersetzen Sie sie in mehrere SIEM-, EDR- und Data Lake-Sprachen.

CVE-2025-31324 Analyse

Von SAP am 24. April 2025 offengelegt und in deren April 2025 Sicherheitspatch-Tagbehandelt, ist CVE-2025-31324 eine nicht authentifizierte Dateiupload-Schwachstelle, die einen maximalen CVSS v3 Score von 10,0 trägt. Der Fehler resultiert aus einem fehlenden Autorisierungscheck in der Metadata Uploader-Komponente, was es nicht authentifizierten Angreifern ermöglicht, speziell gestaltete POST-Anfragen an den /developmentserver/metadatauploader Endpunkt zu senden. Dies führt zu nicht autorisierten Dateiuploads, die in Remote Code Execution (RCE) und einer vollständigen Systemkompromittierung resultieren können.

Trotz des vorhandenen Patches hat das Managed Detection and Response (MDR) Team von Rapid7 bestätigt aktive Ausnutzung der Schwachstelle seit dem 27. März 2025, insbesondere im Fertigungssektor.

Bedrohungsakteure haben die Schwachstelle genutzt, um bösartige JSP-basierte Webshells in das Verzeichnis hochzuladen:
j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root/, was persistenten Remotezugriff, Codeausführung und Datenexfiltration ermöglicht. Diese leichten Webshells sind über einfache GET-Anfragen zugänglich und verwandeln anfällige SAP-Server effektiv in von Angreifern kontrollierte Startrampen, wie die Forschung von ReliaQuest anzeigt. zeigt.

Einige Vorfälle beinhalteten auch den Einsatz von Werkzeugen wie dem Brute Ratel C4 Post-Exploitation-Framework und der Verwendung von Umgehungstechniken wie Heaven’s Gate, um Endpunktverteidigungen zu umgehen – was die professionelle Natur der beteiligten Bedrohungsakteure hervorgehoben hat.

Bemerkenswerterweise ist die anfällige Metadata Uploader-Komponente Teil des SAP NetWeaver Java-Stacks, obwohl sie nicht standardmäßig installiert ist. Allerdings stellten Onapsis Forscher fest, dass viele Organisationen diese Funktion aktivieren, um Geschäftsspezialisten die Erstellung von Unternehmensanwendungen ohne traditionellen Code zu ermöglichen. Die Analyse von Onapsis ergab, dass Angreifer, die CVE-2025-31324 ausnutzen, Webshells installieren können, die administrativen Zugriff auf die gesamte SAP-Umgebung bieten, einschließlich uneingeschränkten Zugriffs auf die Datenbank des Systems. Mit diesem Zugriff können Angreifer Ransomware bereitstellen, SAP-Anwendungen stören, Daten exfiltrieren oder eine breite Palette bösartiger Aktionen durchführen.

Um die Risiken der Ausnutzung ähnlicher Zero-Days und anderer bekannter CVEs zu minimieren, bietet die SOC Prime Plattform Sicherheitsteams eine vollständige Produkt-Suite, die auf einer einzigartigen Fusion von Technologien basiert, unterstützt durch KI und Automatisierung und angetrieben durch Echtzeit-Bedrohungsinformationen, um globalen Organisationen über verschiedene Branchen und Umgebungen hinweg zu helfen, ihre SOC-Operationen zu skalieren. Jetzt registrieren um Cyber-Bedrohungen zu übertrumpfen und zu verhindern, dass Ihr Geschäft von potenziellen Cyber-Angriffen bedroht wird.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Verwandte Beiträge