Die jüngste kritische Sicherheitslücke CVE-2025-31324 in SAP NetWeaver hat weltweit für Aufsehen gesorgt. Dieser kritische Fehler ermöglicht Cyberkriminellen die Ausführung von Schadcode aus der Ferne (Remote Code Execution, RCE) und wird bereits von einer Vielzahl von Bedrohungsakteuren aktiv ausgenutzt. Insbesondere die Gruppe Chaya_004, die wahrscheinlich mit China in Verbindung steht, nutzt diese Schwachstelle für gezielte Angriffe. In diesem Artikel möchten wir die Hintergründe der Schwachstelle, die Methoden der Angreifer, die betroffenen Industrien sowie geeignete Schutzmaßnahmen nachvollziehbar und umfassend beleuchten.
Die Hintergründe der kritischen Sicherheitslücke CVE-2025-31324 – eine kritische SAP NetWeaver-Schwachstelle
SAP NetWeaver ist eine zentrale Plattform für zahlreiche Unternehmensanwendungen und damit ein essenzieller Bestandteil der IT-Infrastruktur vieler Organisationen. Die Schwachstelle mit der Kennung CVE-2025-31324 weist eine maximale CVSS-Bewertung von 10.0 auf – dies entspricht dem höchstmöglichen Risiko. Konkret ermöglicht dieser Sicherheitsfehler Angreifern das Einschleusen sogenannter Webshells über einen verwundbaren Endpunkt namens „/developmentserver/metadatauploader“. Eine Webshell ist ein bösartiges Script, das es Hackern erlaubt, über eine Webschnittstelle direkte Kontrolle auf dem kompromittierten Server zu erlangen.
Diese Anfälligkeit wurde Ende April 2025 von ReliaQuest entdeckt und ist seitdem in aktiven Angriffen beobachtbar. Onapsis, ein Spezialist für SAP-Sicherheit, hebt hervor, dass weltweit bereits hunderte Systeme betroffen sind, die aus den unterschiedlichsten Branchen stammen – von Energie- und Versorgungsunternehmen über Medien bis hin zu Pharmakonzernen und Regierungsstellen.
Angriffsvektor und Vorgehen der Hackergruppen
Der Hauptangriffspfad besteht darin, die Schwachstelle im „metadatauploader“-Endpunkt auszunutzen, um Webshells hochzuladen. Dadurch erlangen die Angreifer die Möglichkeit, beliebigen Code auf dem Zielsystem auszuführen, was eine vollständige Übernahme bedeuten kann. Erfahrenen Cyberkriminellen gelingt es zudem, das Post-Exploitation-Framework Brute Ratel C4 zu installieren, mit dem weiterführende Angriffe automatisiert und gesteuert werden können.
Bereits im Januar dieses Jahres wurde von Forescout Vedere Labs eine Serie von Tests mit speziell zugeschnittenen Payloads gegen die Schwachstelle registriert, die über eigene Honeypots verfolgt wurden. Die tatsächlichen erfolgreichen Kompromittierungen fanden nachweislich zwischen Mitte und Ende März statt, wie auch Google-Tochter Mandiant bei ihren Ermittlungen bestätigte.
Chaya_004: Eine China-verknüpfte Hackergruppe im Fokus
Neuere Untersuchungen von Forescout decken auf, dass auch heterogeneous Gruppen, darunter Chaya_004, die Sicherheitslücke aktiv ausnutzen. Diese Hackergruppe hostet unter der IP-Adresse 47.97.42.177 eine webbasierte Reverse Shell, programmiert in Go (Golang). Reverse Shells erlauben es den Angreifern, eine Verbindung vom Zielserver zurück zu ihrem Kontrollserver herzustellen und so Firewall-Schutzmaßnahmen zu umgehen.
Besonders auffällig ist, dass auf derselben IP-Adresse weitere offene Ports betrieben werden, unter anderem Port 3232 mit einem selbst-signierten Zertifikat, das fälschlich Cloudflare imitiert. Außerdem werden auf der Infrastruktur verschiedene bekannte Angriffswerkzeuge genutzt, u.a. Cobalt Strike zur Auswahl und Steuerung von kompromittierten Systemen, Asset-Reconnaissance-Tools zur Aufklärung des Netzwerks und weitere spezialisierte Utilities.
Die Analyse der eingesetzten Systeme und Tools weist auf eine operierende Einheit hin, die tief in der chinesischen Cloud- und Hacker-Szene verwurzelt ist. Dies wird durch eingesetzte chinesischsprachige Werkzeuge und das Hosting auf Cloud-Anbietern aus China untermauert.
Betroffene Industrien und globale Ausbreitung
Betroffen von der Sicherheitslücke in SAP NetWeaver sind laut Onapsis hunderte Unternehmen weltweit, die in essenziellen Branchen tätig sind. Beispiele sind:
- Energie und Versorgungsunternehmen: Diese kritischen Infrastrukturen sind wegen ihrer zentralen Bedeutung besonders attraktive Ziele.
- Herstellung und Industrie: Produktionsanlagen und Fertigungsketten können erheblich durch manipulierte Systeme gestört werden.
- Medien und Unterhaltung: Manipulationen können Reputations- und Betriebsrisiken nach sich ziehen.
- Öl und Gas: Hier reichen Angriffe von Sabotage bis hin zu Industriespionage.
- Pharmazeutische Unternehmen: Datendiebstähle und Prozessmanipulationen können Folgen für Patientensicherheit haben.
- Einzelhandel und Regierungsbehörden: Hier können Angriffe direkt auf Kundendaten und staatliche Prozesse abzielen.
Die breit gefächerte Bedrohungslage verdeutlicht, dass alle Unternehmen, die SAP NetWeaver nutzen, dringenden Handlungsbedarf haben, um sich zu schützen.
Steigende Aktivität und neue Taktiken – Kryptowährungs-Mining inklusive
Neben dem einfachen Einfallstor zum Einschleusen von Webshells setzen vermehrt auch andere Hacker-Gruppen die Schwachstelle ein, um nicht nur Schadcode zur kompletten Systemübernahme zu platzieren, sondern auch um Kryptowährungen zu schürfen. Diese Form des „Cryptojacking“ nutzt kompromittierte Ressourcen, ohne dass das Opfer davon direkt etwas bemerkt – führt jedoch zu massivem Ressourcenverbrauch und hoher Belastung der Systeme.
Dass eine Vielzahl an Akteuren auf den Exploit-Zug aufspringt, verdeutlichen die Analysen zahlreicher Sicherheitsfirmen. Die Angriffe haben sich seit Anfang 2025 und der Veröffentlichung der Schwachstelle im April stark intensiviert.
Empfehlungen zum Schutz vor Angriffen auf SAP NetWeaver
Mit Blick auf die gravierenden Risiken und die bereits aktive Ausnutzung der Schwachstelle sind umgehende Gegenmaßnahmen unabdingbar. Die folgenden Schritte können Unternehmen ergreifen, um ihre SAP-Umgebung zu schützen:
- Schnelle Installation von Sicherheitsupdates: SAP hat bereits Patches für die kritische Sicherheitslücke CVE-2025-31324 veröffentlicht. Die sofortige Anwendung ist essentiell.
- Einschränkung des Zugriffs: Der Zugriff auf den „metadatauploader“-Endpunkt sollte streng kontrolliert und idealerweise nur autorisierten Personen oder Systemen erlaubt werden.
- Deaktivierung des Visual Composer Service: Falls dieser Dienst nicht benötigt wird, sollte er abgeschaltet werden, um potenzielle Angriffsflächen zu reduzieren.
- Aktives Monitoring: Überwachung verdächtiger Aktivitäten, insbesondere ungewöhnlicher Netzwerkverbindungen und Dateioperationen, hilft frühzeitige Kompromittierungen zu erkennen.
- Erweiterte Sicherheitsmaßnahmen: Der Einsatz von Web Application Firewalls (WAF), Intrusion Detection Systemen (IDS) und der regelmäßige Einsatz von Penetrationstests erhöhen die Abwehrbereitschaft.
- Schulungen und Awareness: Mitarbeiter müssen für die Gefahren sensibilisiert und für den Umgang mit Sicherheitshinweisen geschult werden.
Fazit: SAP-Systeme bleiben im Visier von Cyberkriminellen
Die kritische Sicherheitslücke CVE-2025-31324 trifft SAP NetWeaver umfassend und wird seit Anfang 2025 aktiv von Bedrohungsakteuren, darunter die mit China verknüpfte Gruppe Chaya_004, ausgenutzt. Aufgrund der kritischen Natur der Sicherheitslücke und der exponentiell steigenden Angriffe sind sofortige Sicherheitsmaßnahmen für alle betroffenen Unternehmen unerlässlich.
Sicherheitsforscher betonen, dass die vorhandenen kompromittierten Systeme nun auch von weiteren, möglicherweise noch gefährlicheren Akteuren genutzt werden können. Dies erhöht die Dringlichkeit langfristig abgestimmter Sicherheitsstrategien für SAP-Systemlandschaften.
Indem Unternehmen schnell reagieren und proaktiv ihre Infrastruktur absichern, können sie das Risiko der Kompromittierung minimieren und ihre geschäftskritischen Systeme schützen. Die SAP-Community, Industriepartner und Security-Experten sind aufgerufen, gemeinsam die Schwachstelle zu verfolgen und den Schutz zu verstärken.
Neueste Kommentare