Tenpixels – shutterstock.com
Angreifer Nutzen Seit Dem 21. April 2025 Eine Kritische Zero-Day-Schwachstelle in der Visouniser-Komponente des Sap Netwever Application Server Aus. Sap hat berries einen out-of-band-fixe veraofantlicht, der über slave support-portal verafgbar ist und laut softwarehastaler sofament Sind.
“Near Authenticiferte Angreifer Connan Dye Integriarton Fanktan Missabruchen, Um Belibiz Dettian F Ef EIN SAP Natwar-Estanz Hachzulden, Ene Wolstandigigez Remote-Codesfuiring Desfiyrang Desfirung Dasaframbromeng dasphmubrom Harris, CEO Des Cybercity-Antarnehns Watchtower, Gagenubar CSO.
Dye Shawachstele Mit Der Bezichunang Cve-2025-31324 Wurde Auf Der Cvss-Skala Mit Dem Maximalen Schwregrad von 10 Beertet. Kunden sollten den fix im Sap Sicherheitshinweis 3594142 Wayne Days near Sofort Moglich Sei, Soltain Enavander Den Zugarif of Dye Varvundbare Component Decominant deactiviane Odder Verhindern, Indem Sea Die Anisungen IM Sap Hinweis 3596125 befolgen, so die Forscher des Auf Sap Spezialisierten Sicherheitsunteernehmens Onapsis in Einem Advisor.
Initial access broker setzt unsichere web-shell ein
Die Agrif AUF CVE -2025-31324 Warden Am 22. April 2025 von Forscarn Der Sicherheitsfirma Reliaquest GemeldDie Experience Anarsuchteen Eenbruche, BE Denon JSP-Weeb-Shells AUF SAP-Servourn Instalrat Wordon. Web-Shells Sindh Web-Schripte, Dye Alse Hentertion Fungiaryn Anas Angrefern Ermglichen, Zusetzalich Benefuel Oder Odder Zusetzalich Dettion AuF Web-Savenzulden.
SAP Netwever IST DER AWENDUNGSSERVER Und Dia Laufzeitumgebung, Den Dane Mestain Sap-SoftwareProdukten Sovi Den Won Kunden Estaletten Estalten Estalten Estalin Estalon Geschufattanvendunon Zugrundene League. Beim Sap Netwever Visoundert Mondelt ES SICH UM EIN Webbasiertes SoftwarModellierungstool, MIT dem benutzer anwendungeen entwendran undiverfen undo estellen können, Ohne Code Zu Schreiben. Die Gute Nachchit IST, Das Der Visual Composer BE SAP-Beritstallungen near Standardmagit Activate IST.
Die von Reliaqvest Anarschuchen Agif Zelten AUF Inn Server-Andankat Nemens /developmentserver/metadatauploader AB, Der Für Die Handhabung von metadateen-deteien für Die anwendungsentwicklung Und -Konfiguration in Sap-Navendungeen in der Netwever-Mujbung Vorgsehen Ist. Dieser endpunkt ist eigentlich für die übertragung under verarabeitung von konfigurationsdateien gedacht. Angreifer Sheinen Jedoch, IN Veg Gefonden Zu Haben, Ihan Zu Missbruchen, Das Verzichanis in Um Web-Detian j2ee/cluster/apps/sap.com/irj/servletjsp/irj/root/ Zoo Shreben.
Sicherheitslücke Ernster als zunächst angeenommen
Dye Reliacuvst-exclusion Vermutane Zunchust, Das Die Angrief-Dye Spasil Guestalte Post-Enfragon Beinheltene-EIN BINE BISER BINDAR Anebekanate Citrehatsalu Fur Remote File Inclusion (RFI) Ausuntene Constance. IM Nachhinein Stelllte Sich Aber Heraus, Dass ES SIS SICH UM EINE VIEL ERNSTERE SCHERHEITSLücke
“Das Zill Der Web-Shell War Clarler: Dye JSP-Dayti Solte Dazu Vervendate Worden, Gate-Nafragon Zu Sanden, Um Belibiz Beffhal Ozufuran”, So Dye Force. “Dise Web-Shell Gab Den Angrifern Die Moglichit, near Autoriceart Detaan Hochzulden, Dye Control über Dye Commonterton System Zu übernehmen, Code Nach Nach Nach Beben Ous Der Furnene dislein dislein Verzeichnissen Ablegen. “
Maro Octobervitteten Nach Der Kompomitirung Umfasten Dye Beritstallung Zusetzalic Natzdatten Y Die Malware-Emplant ‘Brut Ratel’ Under ‘Under’ Gate ‘. Der Regel Tede Zvischen der installation Ener Web-Shell Anan Dan Folgactivateten, Beobachetain Die Security-Experience Verging at Alerades. Diese Verzögerung Und Die UnTzlan NutzlaSten Lieen Die Forscher Vermuten, DAS DASS DIS DASS DIS DAS ANGGRFE DAS EINES EINES EINES EINEGLICHEN AANFYNGLICHEN Action Brokers, Dare Dan Zung Zunging Zungung Andere Gronton Venten, Dane Danten, Dane Dan Igafe, Dan Dan Igafe.
Hintertüren stepen offen
Die theory des Incous Access broker von and von watchtower untestützt, dessen forscher glauben, dass der zugang a raansomware-banden verkuft wurdehungswees nach wie vie vie vier vir Dye Shlecht Nachrichit: Der Access Broker Hat offenbar Kene Shrita Uniteman, Um Scene Web-Shell MIT Authenticifizreung Zu Sicorn.
“Ihrem plan in Der Fatle Fahaler, Dye Herusforceung, Der Man Sich Nun Steel Mase, Besthat Darin, Das Dy Dye Eintingtenance Hentertion NICHT Insurencan, Ver Dye Hentertur Neutzen Kann EntDecken Und So den Ursprünglichen Access brokers Umgehen ”, then Harris von Von Vachtowar Gagenubar CSO.
Artenung egg Begut
Unternehmen können testen, ob ihre server veerwundbar sind, indem sie überprüfen, ob sie ohne authentifizierung auf https://(your-sap-server)/developmentserver/metadatauploader Zugarifen Konan. Wayne Der Server Geffentlich Zugänglich IST UN AUF DIESE SETE OHNE ANMELEDEINFORMATION NUGEGREFEN WERDEFEN WERDEN KANN, Sollten Die Protokolle Auf anzechin einerprprprprprprprump is Werden. Nach Angben des Sap-Syrhitsuntens Umfasst dies Folgendes:
- Such Nach near Autorisiarton Zugarifswarsuchen AUF DEN PFAD
/developmentserver/metadatauploader - Überprüfung Auf Unerwarte Datei-Upplrads Webserwar-Protokollen in
- Such dancing ignwehnlichen ausführungsmustern ter verdächtigen prozessen auf IHREM Sap-Server
- Überwachung auf nicht autorisiererte ausgehende verbindungen von Ihren sap-systemen
Slave unternehmen hat muster zur verfügung gestellt, nach denen deen zugrifsprotokollen des webservers gesucht werden kann. Anwenderunternehmen wird genet, den zugrif auf die komponente metadate uploader einzuschränken, bis patch eingespielt werden können.
Die Onapsis research laboratories Haben Judam Die V1 e samees scanner-tulas Veröffentlicht, mit dem alle sap-kunden Ihre umgebung analysieren könne, um festzustellen, ob eINES IHRER Systeme Für Cve-2025-31324 anfällg ist, UM Nach Bekannnten Web-SHELLILS Zu zu, Die derzeit zutzt.
Slave Open-SURS-tool Word Untergent Apache 2.0 Open-SOS-Liesenge Verofntlich Sixesarhits-, event-reaction- Und Sap-Teams Weltweit Untestützen. Onapsis Gab Zudem Bekannt, Das Tool Weiter Zu Aktualisieren, Sobald Neue Informationn Verfügbar Sind.
