{"id":12782,"date":"2025-05-15T13:06:51","date_gmt":"2025-05-15T13:06:51","guid":{"rendered":"https:\/\/byte-bucket.com\/2025\/05\/15\/sicherheitsluecke-in-sap-netweaver-chinesische-und-russische-ransomware-gruppen-nutzen-schwachstellen-fuer-angriffe\/"},"modified":"2025-05-18T12:26:38","modified_gmt":"2025-05-18T12:26:38","slug":"sicherheitsluecke-in-sap-netweaver-chinesische-und-russische-ransomware-gruppen-nutzen-schwachstellen-fuer-angriffe","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=12782","title":{"rendered":"Sicherheitsl\u00fccke in SAP NetWeaver: Chinesische und russische Ransomware-Gruppen nutzen Schwachstellen f\u00fcr Angriffe"},"content":{"rendered":"<p>SAP ver\u00f6ffentlichte au\u00dferplanm\u00e4\u00dfig Software-Aktualisierungen f\u00fcr eine kritische Schwachstelle (CVE-2025-31324) in der Visual Composer-Komponente von NetWeaver, nachdem Advanced Persistent Threats (APTs) und Ransomware-Gruppen diese f\u00fcr unautorisierte Dateiuploads und Remote-Code-Ausf\u00fchrung (RCE) nutzten. Die L\u00fccke mit CVSS-Score 10 erm\u00f6glichte seit April 2025 Angriffen durch chinesische APTs (UNC5221, UNC5174, CL-STA-0048) und russische Gruppen wie BianLian sowie RansomEXX (Storm-2460), die modulare Backdoors wie PipeMagic einsetzten. Analysen von EclecticIQ und Reliaquest zeigen globale Angriffe auf kritische Infrastrukturen, darunter Gasversorger, Gesundheitswesen und Regierungsbeh\u00f6rden. Ein zweites Leck (CVE-2025-42999) wurde im Mai patcht, doch die Kombination beider Schwachstellen erm\u00f6glichte bereits seit M\u00e4rz 2025 kompromittierende Befehlsausf\u00fchrungen.<\/p>\n<p>Die Gruppe UNC5221 nutzte bereits im M\u00e4rz 2025 die Ivanti-Schwachstelle CVE-2025-22457 f\u00fcr RCE-Angriffe mit Malware wie Trailblaze und Brushfire. Seit April 2025 fokussiert sie sich auf SAP NetWeaver, wobei kompromittierte Systeme Webshells (helper.jsp, cache.jsp) erhielten, gefolgt von lateralen Bewegungen im Netzwerk. UNC5174 setzt SNOWLIGHT-Malware ein, die dateilose Payloads wie VShell im Speicher injectet \u2013 ein RAT, der in chinesischen Underground-Foren als Cobalt-Strike-Alternative vermarktet wird. CL-STA-0048, mit Verbindungen zum s\u00fcdasiatischen Raum, kombiniert SAP-Exploits mit PlugX-Backdoors in IIS- und Apache Tomcat-Servern.<\/p>\n<p>RansomEXX (Microsoft-Bezeichnung Storm-2460) nutzt PipeMagic, eine modulare Backdoor, die via MSBuild-Aufgaben in kompromittierte SAP-Systeme eingeschleust wird. PipeMagic kommuniziert mit einer cloudapp[.]azure[.]com Domain  und nutzt CLFS-Schwachstellen (CVE-2025-29824) f\u00fcr Privilege Escalation. BianLian operiert parallel mit \u00e4hnlichen Taktiken, fokussiert sich jedoch auf Datenexfiltration vor Ransomware-Encryption. Beide Gruppen nutzen Brute Ratel C2-Frameworks, die urspr\u00fcnglich f\u00fcr Red-Team-\u00dcbungen entwickelt wurden, zur Kompromittierung gepatchter Systeme.<\/p>\n<p>CVE-2025-31324: Die Schwachstelle im \/developmentserver\/metadatauploader-Endpunkt erlaubt nun unautorisierte Akteuren, beliebige Bin\u00e4rdateien (z.B. JSP-Webshells) auf SAP NetWeaver-Servern abzulegen. Standardm\u00e4\u00dfig speichert der Visual Composer hochgeladene Dateien \/servlet_jsp\/irj\/root\/ ab. Dieser Pfad geh\u00f6rt zur Standardverzeichnisstruktur von SAP NetWeaver Application Server Java-Systemen und erm\u00f6glicht die direkte Ausf\u00fchrung von JSP-Dateien \u00fcber den integrierten Tomcat-Server. Die fehlende Zugriffskontrolle auf dieses Verzeichnis bildete die technische Grundlage f\u00fcr die Ausnutzung von CVE-2025-31324 durch Angreifer.<\/p>\n<p>Schlagw\u00f6rter: SAP NetWeaver + RansomEXX + EclecticIQ<br \/>(pz)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>SAP ver\u00f6ffentlichte au\u00dferplanm\u00e4\u00dfig Software-Aktualisierungen f\u00fcr eine kritische Schwachstelle (CVE-2025-31324) in der Visual Composer-Komponente von NetWeaver, nachdem Advanced Persistent Threats (APTs) und Ransomware-Gruppen diese f\u00fcr unautorisierte Dateiuploads und Remote-Code-Ausf\u00fchrung (RCE) nutzten. Die L\u00fccke mit CVSS-Score 10 erm\u00f6glichte seit April 2025 Angriffen durch chinesische APTs (UNC5221, UNC5174, CL-STA-0048) und russische Gruppen wie&#46;&#46;&#46;<\/p>\n","protected":false},"author":6,"featured_media":12781,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-12782","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/12782","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=12782"}],"version-history":[{"count":2,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/12782\/revisions"}],"predecessor-version":[{"id":12818,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/12782\/revisions\/12818"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/12781"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=12782"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=12782"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=12782"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}