Indicators of Compromise Scanner für SAP Zero-Day (CVE-2025-31324)

Onapsis stellt in Zusammenarbeit mit Mandiant ein Open-Source-Tool zur Verfügung

[datensicherheit.de, 02.05.2025] Onapsis stellt in Zusammenarbeit mit Mandiant ein Open-Source-Tool zur Verfügung. Es soll Unternehmen dabei unterstützen, die SAP-Sicherheit zu stärken, indem es Indicators of Compromise (IoCs) identifiziert, die mit der aktiven Ausnutzung einer kürzlich gepatchten Schwachstelle in SAP NetWeaver Application Server Java (CVE-2025-31324) in Zusammenhang stehen.

Schwachstelle höchster Kritikalität

CVE-2025-31324 ist eine kritische, nicht authentifizierte Schwachstelle für die Remotecodeausführung in der Visual Composer-Komponente von SAP NetWeaver, die es Bedrohungsakteuren ermöglicht, die vollständige Kontrolle über bedrohte SAP-Server zu übernehmen.

Übersicht zu CVE-2025-31324

Die Schwachstelle betrifft SAP NetWeaver Java-Systeme, bei denen die Entwicklungsumgebung von Visual Composer aktiviert und nicht gepatcht ist. Bei erfolgreicher Ausnutzung haben Angreifer die volle Kontrolle über das System, einschließlich des uneingeschränkten Zugriffs auf sensible SAP-Geschäftsdaten und -prozesse, der Implementierung von Ransomware und lateraler Bewegungen. Die erste von Onapsis beobachtete Ausnutzung wurde am 14. März 2025 festgestellt. Die Bedrohungsaktivitäten haben deutlich zugenommen, auch wenn SAP am 24. April ein Notfall-Patch bereitgestellt hat.

Patches installieren und Umgebung auf Gefährdungen prüfen

Aufgrund der Kritikalität und der weiten Verbreitung wird Kunden mit gefährdeten internetbasierten SAP-Anwendungen dringend empfohlen, nicht nur Patches zu installieren, sondern auch ihre Umgebungen auf eine Gefährdung zu überprüfen.

Open-Source-Scanner

Der Open-Source-Scanner, der von Onapsis in Zusammenarbeit mit Mandiant entwickelt wurde, soll SAP-Kunden in verschiedenen Aspekten unterstützen:

• Feststellung der Anfälligkeit des Systems für CVE-2025-31324
• Identifizierung bekannter Indicators of Compromise (IOCs) hinsichtlich vorliegender Kampagneninformationen
• Scannen nach unbekannten webausführbaren Dateien in bekannten Exploit-Pfaden
• Sammeln verdächtiger Dateien in einem strukturierten ZIP-Archiv mit Verzeichnis für eine spätere Analyse
• Überprüfung des SAP HTTP-Zugriffsprotokolls (falls vorhanden) auf Einträge im Zusammenhang mit der Ausnutzung von CVE-2025-31324
• Extraktion und Speicherung von Kopien der identifizierten Protokolleinträge in einer CSV-Datei für die weitere Analyse

Es handelt sich um eine aktive Kampagne. Das Tool wird weiter aktualisiert, sobald weitere IoCs und Informationen verfügbar sind. Eine regelmäßige Überprüfung nach Updates wird vom Hersteller empfohlen.

Der Scanner steht hier im Onapis-Blog kostenlos zum Download zur Verfügung.

Handlunsgempfehlungen für Unternehmen

• Sofortige Nutzung der SAP Note 3594142
• IoC-Scanner starten, um Anzeichen einer Kompromittierung zu erkennen
• Auslösen der SAP-spezifischen Incident Response Playbooks

Die Veröffentlichung dieses Tools ist nach eigenen Angaben Teil der Bemühungen, Verteidiger bei kritischen Bedrohungen zu unterstützen.

Weitere Informationen zum Thema:

Onapsis
SAP NetWeaver Flaw Lets Hackers Take Full Control: CVE-2025-31324 Explained

datensicherheit.de, 08.04.2021
Kritische SAP-Anwendungen im Fokus Cyber-Krimineller