SAP heeft noodpatches uitgebracht voor een kritieke zero-day kwetsbaarheid in NetWeaver. De beveiligingsfout maakt het mogelijk om zonder authenticatie malafide bestanden te uploaden naar het systeem. Daarmee is controle over servers mogelijk, hoewel SAP ontkent dat klanten getroffen zijn. Niets is minder waar, melden verschillende securitybedrijven.
De kwetsbaarheid is aangeduid als CVE-2025-31324 met een kritieke CVSS v3-score van 10.0. De fout bevindt zich in de Metadata Uploader-component van SAP NetWeaver Visual Composer. Aanvallers kunnen deze fout misbruiken om zonder inloggegevens .exe-bestanden te uploaden. Het eindresultaat: mogelijke remote code execution en overname van een server.
Hoewel SAP’s eigen bulletin niet publiek toegankelijk is, meldde securitybedrijf ReliaQuest afgelopen week al dat een actief misbruikte kwetsbaarheid was ontdekt in het ‘/developmentserver/metadatauploader’-endpoint van SAP NetWeaver Visual Composer – wat overeenkomt met CVE-2025-31324.
Aanvalsmethode en impact
Volgens ReliaQuest, geciteerd door BleepingComputer, zijn meerdere klanten gecompromitteerd via ongeautoriseerde bestandsuploads naar SAP NetWeaver. De aanvallers plaatsten JSP webshells in publiek toegankelijke mappen, waardoor remote code execution mogelijk werd via eenvoudige GET-requests naar deze JSP-bestanden. Dit stelde de aanvallers in staat commando’s uit te voeren vanuit de browser en diverse bestandsbeheerstaken uit te voeren. Na een mengelmoes van hulptools zijn kwaadwillenden in staat om ongezien meer schade aan te richten.
ReliaQuest benadrukte in hun rapport dat voor de exploitatie geen authenticatie vereist was. Destijds waren de gecompromitteerde systemen tevens volledig gepatcht. Dit laat zien dat er sprake was van een zero-day. Ook securitybedrijf watchTowr bevestigde actieve exploitatie van deze kwetsbaarheid. Dit roept de vraag op of SAP nog naar bevestiging zoekt van klanten die wellicht niet weten dat ze geraakt zijn.
Bescherming tegen aanvallen
Het toepassen van de nieuwste patch wordt logischerwijs sterk aangeraden. Deze security-fix is beschikbaar gesteld na SAP’s reguliere ‘April 2025’-update, wat betekent dat systemen die eerder deze maand zijn bijgewerkt nog steeds kwetsbaar zijn voor CVE-2025-31324.
Daarnaast bevat deze emergency update ook fixes voor twee andere kritieke kwetsbaarheden: CVE-2025-27429 (code injection in SAP S/4HANA) en CVE-2025-31330 (code injection in SAP Landscape Transformation).
Voor organisaties die de updates niet direct kunnen toepassen, worden mitigaties aangeraden. Zo moet de toegang tot /developmentserver/metadatauploader-endpoint beperkt worden, moet Visual Composer uitgezet worden als dit kan, en is het nodig een SIEM te voorzien van logs om verdachte acties op te sporen.
ReliaQuest adviseert een grondige omgevingsscan uit te voeren om verdachte bestanden te lokaliseren en te verwijderen voordat deze mitigatiemaatregelen worden toegepast. Immers hebben ze weinig zin als een aanvaller ongezien binnen is en zich lateraal door de IT-omgeving heeft bewogen.
Tegenstrijdige berichten
Een woordvoerder van SAP betwistte via een verklaring aan BleepingComputer dat CVE-2025-31324 succesvol is geëxploiteerd in daadwerkelijke aanvallen.
“SAP werd op de hoogte gebracht van een kwetsbaarheid in SAP NETWEAVER Visual Composer, die mogelijk ongeauthenticeerde en ongeautoriseerde code-uitvoering in bepaalde Java Servlets mogelijk maakte,” verklaarde de SAP-woordvoerder.
“SAP is niet op de hoogte dat SAP-klantgegevens of -systemen werden getroffen door deze kwetsbaarheden. Een workaround werd uitgebracht op 8 april 2025, en een patch is momenteel beschikbaar. Klanten wordt aanbevolen de patch onmiddellijk toe te passen.”
Het is niet ongebruikelijk dat er bij zero-day kwetsbaarheden verwarring ontstaat over de exacte aard en impact. In 203 hekelden onderzoekers de schimmigheid van techbedrijven als Apple en Google bij het rapporteren van zero-days, wat tot vergelijkbare onduidelijkheden leidde voor organisaties die hun systemen proberen te beschermen.
Voor SAP-beheerders is het advies duidelijk: patchen heeft de hoogste prioriteit, ongeacht de discussie over of de kwetsbaarheid al dan niet actief wordt misbruikt. De combinatie van een CVSS-score van 10.0 en de potentiële impact maakt onmiddellijke actie noodzakelijk.
Lees ook: Wanneer is een kritieke kwetsbaarheid daadwerkelijk ernstig?