Außer der Reihe hat SAP am Freitag eine Sicherheitslücke in SAP Netweaver mit einem Patch bedacht. Es stellte sich später heraus, dass dieses Leck bereits in freier Wildbahn attackiert wird. IT-Forscher sehen derzeit noch immer hunderte verwundbare Systeme, die aus dem Internet erreichbar sind.
Die Sicherheitslücke erlaubt Angreifern aus dem Netz ohne vorherige Anmeldung, beliebigen Code einzuschleusen und auszuführen. IT-Verantwortliche sollten die Schwachstelle mit der verfügbaren Aktualisierung umgehend ausbessern, sofern das noch nicht geschehen ist. Die IT-Forscher der Shadowserver Foundation haben jedoch noch hunderte angreifbare Systeme entdeckt, die im Netz erreichbar sind.
Am Samstag konnten die Shadowserver-Mitarbeiter noch mehr als 450 IPs ausmachen, hinter denen angreifbare Netweaver-Instanzen steckten. Im zeitlichen Verlauf lassen sich interessante Einblicke gewinnen.
| 26.04.2025 | 27.04.2025 | 28.04.2025 | |
| USA | 149 | 132 | 112 |
| Indien | 50 | 45 | 37 |
| Australien | 37 | 38 | 35 |
| Deutschland | 30 | 29 | 29 |
| China | 31 | 26 | 18 |
Bei den größten betroffenen Ländern sind die IT-Verantwortlichen offenbar aktiv geworden: Mehr als ein Viertel der anfälligen Systeme in den USA wurde seit Samstag abgesichert, in Indien fast ein Viertel, China nähert sich einer Fix-Quote von mehr als 40 Prozent an. In Australien und Deutschland sieht es hingegen eher mau aus: Eines von 30 Systemen wurde gesichert oder ist nicht mehr im Netz erreichbar, in Australien immerhin zwei von 37 – nachdem am Sonntag zunächst sogar eine verwundbare Instanz hinzugekommen war.
Admins sollten ihre SAP-Netweaver-Systeme unbedingt überprüfen und gegebenenfalls die Aktualisierung anwenden. Details zur Lücke und hilfreiche Hinweise wie Hinweise auf Angriffe (Indicators of Compromise, IOCs) finden sich etwa in einem Blog-Beitrag von Onapsis.
Zunächst wurde lediglich bekannt, dass im Laufe des Donnerstags eine Schwachstellenmeldung von SAP veröffentlicht wurde. Sie betrifft die Komponente "SAP NetWeaver Visual Composer Metadata Uploader", die standardmäßig offenbar nicht aktiviert, von IT-Sicherheitsforschern jedoch als sehr oft eingesetztes optionales Modul eingestuft wird. Die Lücke erlaubt Angreifern ohne vorherige Authentifizierung, Schadcode einzuschleusen (CVE-2025-31324, CVSS 10.0, Risiko "kritisch").
(
Kommentare