Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Sicherheitsrisiko Sicherheitslücke CVE-2025-31324

Sicherheitslücke CVE-2025-31324

Von Mezo in Sicherheitsrisiko
Übersetzen Sie in:

Sicherheitsforscher haben einen mit China verbundenen Bedrohungsakteur namens Chaya_004 mit der Ausnutzung einer kritischen SAP NetWeaver-Sicherheitslücke (CVE-2025-31324) in Verbindung gebracht. Diese Schwachstelle mit dem höchsten CVSS-Score von 10,0 ermöglicht Angreifern die Remotecodeausführung (RCE), indem sie bedrohliche Web-Shells über den anfälligen Endpunkt /developmentserver/metadatauploader hochladen.

Diese Schwachstelle erregte erstmals Ende April 2025 Aufmerksamkeit, als Infosec-Teams entdeckten, dass sie aktiv ausgenutzt wurde. Angreifer nutzten sie, um Web-Shells und Post-Exploitation-Tools wie Brute Ratel C4 einzusetzen.

Die Folgen: Branchen im Fadenkreuz

Seit März 2025 wird diese Schwachstelle branchenübergreifend und regional ausgenutzt. Die ersten Angriffe erfolgten vermutlich bereits am 12. März. Die ersten erfolgreichen Angriffe fanden zwischen dem 14. und 31. März statt.

Zu den betroffenen Sektoren gehören:

  • Energie und Versorgung
  • Herstellung
  • Medien und Unterhaltung
  • Öl und Gas
  • Pharmazeutika
  • Einzelhandels- und Regierungsorganisationen

Diese weitverbreiteten Angriffe deuten auf eine globale Kampagne hin, die möglicherweise Hunderte von SAP-Systemen betrifft.

Innerhalb der schädlichen Infrastruktur

Der Bedrohungsakteur Chaya_004 stand an vorderster Front dieser Kampagnen und hostete eine webbasierte Reverse Shell namens SuperShell unter der IP-Adresse 47.97.42[.]177. Diese Infrastruktur wies auch weitere verdächtige Elemente auf:

  • Port 3232/HTTP, der ein selbstsigniertes Zertifikat bereitstellt, das Cloudflare imitiert
  • Mehrere chinesischsprachige Tools und Dienste, die von chinesischen Cloud-Anbietern gehostet werden

Zu den mit der Gruppe verbundenen Schadsoftware-Tools gehören:

  • NPS (Network Policy Server) : Dieses Tool wird häufig zur Verwaltung von Netzwerkzugriffsrichtlinien verwendet. Angreifer können es ausnutzen, um den Netzwerkverkehr zu manipulieren und so möglicherweise unbefugten Zugriff zu ermöglichen oder die Kommunikation zu stören.
  • SoftEther VPN : Eine vielseitige Open-Source-VPN-Software, die von Angreifern missbraucht werden kann, um die Netzwerksicherheit zu umgehen und verschlüsselte Verbindungen zu Remote-Systemen herzustellen, was zu einer heimlichen Datenexfiltration oder lateralen Bewegung innerhalb kompromittierter Netzwerke beiträgt.
  • Cobalt Strike : Ein weit verbreitetes Post-Exploitation-Tool für Advanced Persistent Threats. Es ermöglicht Angreifern, reale Cyberangriffe zu simulieren und so kompromittierte Rechner heimlich zu kontrollieren und auszunutzen.
  • Asset Reconnaissance Lighthouse (ARL) : Ein Aufklärungstool, das Angreifern hilft, Netzwerkressourcen zu kartieren, Schwachstellen zu identifizieren und Einblicke in potenzielle Ziele innerhalb eines Netzwerks zu gewinnen, was zu effektiveren und gezielteren Angriffen führt.
  • Pocassist : Ein Tool, das bei der Erstellung und Ausnutzung von Proof-of-Concept-Exploits (PoC) hilft und Angreifern dabei hilft, den Prozess des Testens von Schwachstellen und der Ausführung gezielter Exploits zu automatisieren.
  • GOSINT : Ein Tool zum Sammeln von Open-Source-Informationen (OSINT), das Angreifern dabei hilft, öffentlich verfügbare Informationen zur Aufklärung zu sammeln, wie etwa Mitarbeiterdaten, Netzwerkdetails oder andere vertrauliche Informationen, die bei Angriffen ausgenutzt werden können.
  • GO Simple Tunnel : Ein einfaches Tunneling-Tool, das von Angreifern verwendet wird, um Firewalls und andere Netzwerksicherheitsmaßnahmen zu umgehen und verschlüsselte Tunnel zu erstellen, über die Datenverkehr unentdeckt weitergeleitet oder auf eingeschränkte Systeme zugegriffen werden kann.
  • GO Simple Tunnel

Dieses hochentwickelte Toolkit sowie die Nutzung chinesischer Infrastruktur deuten stark darauf hin, dass es sich um einen Bedrohungsakteur handelt, der von China aus operiert.

Immer einen Schritt voraus: Verteidigungsstrategien gegen anhaltende Ausbeutung

Obwohl Sicherheitspatches veröffentlicht wurden, kommt es auch nach der Patch-Veröffentlichung weiterhin zu schädlichen Aktivitäten. Dies deutet darauf hin, dass bereits eingesetzte Web-Shells von einem breiten Spektrum an Betrügern – von Gelegenheitstätern bis hin zu hochqualifizierten Angreifern – zweckentfremdet und erweitert werden. Angesichts dieser sich entwickelnden Bedrohungslage müssen Unternehmen umfassende Abhilfemaßnahmen ergreifen. Dazu gehören die zeitnahe Installation offizieller SAP-Updates, die sorgfältige Einschränkung des Zugriffs auf anfällige Endpunkte und die Deaktivierung nicht unbedingt erforderlicher Dienste wie Visual Composer.

Darüber hinaus ist erhöhte Wachsamkeit durch kontinuierliche System- und Protokollüberwachung auf anomales Verhalten unerlässlich. Diese Abwehrmaßnahmen sind unerlässlich, um das Risiko weiterer Kompromittierungen zu verringern und die Betriebsintegrität von SAP-Infrastrukturen zu gewährleisten.

Im Trend

Am häufigsten gesehen

Wird geladen...