Sicherheitslücke in SAP NetWeaver: Chinesische und russische Ransomware-Gruppen nutzen Schwachstellen für Angriffe
SAP veröffentlichte außerplanmäßig Software-Aktualisierungen für eine kritische Schwachstelle (CVE-2025-31324) in der Visual Composer-Komponente von NetWeaver, nachdem Advanced Persistent Threats (APTs) und Ransomware-Gruppen diese für unautorisierte Dateiuploads und Remote-Code-Ausführung (RCE) nutzten. Die Lücke mit CVSS-Score 10 ermöglichte seit April 2025 Angriffen durch chinesische APTs (UNC5221, UNC5174, CL-STA-0048) und russische Gruppen wie BianLian sowie RansomEXX (Storm-2460), die modulare Backdoors wie PipeMagic einsetzten. Analysen von EclecticIQ und Reliaquest zeigen globale Angriffe auf kritische Infrastrukturen, darunter Gasversorger, Gesundheitswesen und Regierungsbehörden. Ein zweites Leck (CVE-2025-42999) wurde im Mai patcht, doch die Kombination beider Schwachstellen ermöglichte bereits seit März 2025 kompromittierende Befehlsausführungen.
Die Gruppe UNC5221 nutzte bereits im März 2025 die Ivanti-Schwachstelle CVE-2025-22457 für RCE-Angriffe mit Malware wie Trailblaze und Brushfire. Seit April 2025 fokussiert sie sich auf SAP NetWeaver, wobei kompromittierte Systeme Webshells (helper.jsp, cache.jsp) erhielten, gefolgt von lateralen Bewegungen im Netzwerk. UNC5174 setzt SNOWLIGHT-Malware ein, die dateilose Payloads wie VShell im Speicher injectet – ein RAT, der in chinesischen Underground-Foren als Cobalt-Strike-Alternative vermarktet wird. CL-STA-0048, mit Verbindungen zum südasiatischen Raum, kombiniert SAP-Exploits mit PlugX-Backdoors in IIS- und Apache Tomcat-Servern.
RansomEXX (Microsoft-Bezeichnung Storm-2460) nutzt PipeMagic, eine modulare Backdoor, die via MSBuild-Aufgaben in kompromittierte SAP-Systeme eingeschleust wird. PipeMagic kommuniziert mit einer cloudapp[.]azure[.]com Domain und nutzt CLFS-Schwachstellen (CVE-2025-29824) für Privilege Escalation. BianLian operiert parallel mit ähnlichen Taktiken, fokussiert sich jedoch auf Datenexfiltration vor Ransomware-Encryption. Beide Gruppen nutzen Brute Ratel C2-Frameworks, die ursprünglich für Red-Team-Übungen entwickelt wurden, zur Kompromittierung gepatchter Systeme.
CVE-2025-31324: Die Schwachstelle im /developmentserver/metadatauploader-Endpunkt erlaubt nun unautorisierte Akteuren, beliebige Binärdateien (z.B. JSP-Webshells) auf SAP NetWeaver-Servern abzulegen. Standardmäßig speichert der Visual Composer hochgeladene Dateien /servlet_jsp/irj/root/ ab. Dieser Pfad gehört zur Standardverzeichnisstruktur von SAP NetWeaver Application Server Java-Systemen und ermöglicht die direkte Ausführung von JSP-Dateien über den integrierten Tomcat-Server. Die fehlende Zugriffskontrolle auf dieses Verzeichnis bildete die technische Grundlage für die Ausnutzung von CVE-2025-31324 durch Angreifer.
Schlagwörter: SAP NetWeaver + RansomEXX + EclecticIQ
(pz)
