Er is een nieuwe exploit die twee kritische, nu afgestudeerde beveiligingsfouten in SAP Netweaver combineert in het wild, waardoor organisaties het risico lopen op het systeemcompromis en gegevensdiefstal.
De exploit in kwestie ketens samen CVE-2025-31324 en CVE-2025-42999 om authenticatie te omzeilen en externe code-uitvoering te bereiken, zei SAP Security Company Onapsis.
- CVE-2025-31324 (CVSS -score: 10.0) – Missing Authorization Check In SAP NetWeaver’s Visual Composer Development Server
- CVE-2025-42999 (CVSS -score: 9.1) – Onzekere deserialisatie in SAP Netweaver’s Visual Composer Development Server
De kwetsbaarheden werden in april en mei 2025 door SAP aangepakt, maar niet voordat ze door bedreigingsacteurs werden misbruikt als nul-dagen sinds minstens maart.
Meerdere ransomware- en data-afpersingsgroepen, waaronder Qilin, Bianlian en Ransomexx, zijn waargenomen, bewapening van de gebreken, en niet te vergeten verschillende China-Nexus spionage-bemanningen die ze ook hebben gebruikt in aanvallen op kritieke infrastructuurnetwerken.
Het bestaan van de exploit werd vorige week voor het eerst gemeld door VX-Underground, die zei dat het werd vrijgegeven door Scattered Lapsus $ jagers, een nieuwe Fluid Alliance gevormd door verspreide spin en glanzendhunters.
“Met deze kwetsbaarheden kan een niet -geauthenticeerde aanvaller willekeurige opdrachten uitvoeren op het doel -SAP -systeem, inclusief de upload van willekeurige bestanden,” zei Onapsis. “Dit kan leiden tot externe code -uitvoering (RCE) en een volledige overname van het getroffen systeem en SAP bedrijfsgegevens en -processen.”
De exploit, voegde het bedrijf toe, kan niet alleen worden gebruikt om webschalen te implementeren, maar ook worden bewapend om living-off-the-lland (LOTL) -aanvallen uit te voeren door direct besturingssysteemopdrachten uit te voeren zonder extra artefacten op het gecompromitteerde systeem te laten vallen. Deze opdrachten worden uitgevoerd met SAP -beheerdersrechten, waardoor slechte actoren ongeautoriseerde toegang tot SAP -gegevens en systeembronnen worden toegekend.
In het bijzonder gebruikt de aanvalsketen eerst CVE-2025-31324 om de authenticatie te omzeilen en de kwaadaardige payload naar de server te uploaden. De kwetsbaarheid van deserialisatie (CVE-2025-42999) wordt vervolgens benut om de payload uit te pakken en uit te voeren met verhoogde machtigingen.
“De publicatie van dit deserialisatiegadget is met name zorgwekkend vanwege het feit dat het in andere contexten kan worden hergebruikt, zoals het exploiteren van de deserialisatie -kwetsbaarheden die onlangs in juli door SAP werden gepatcht,” waarschuwde Inapsis.
Dit omvat –
Het bedrijf beschrijft de dreigingsactoren als uitgebreide kennis van SAP -applicaties en dringt er bij SAP -gebruikers op aan om de nieuwste oplossingen zo snel mogelijk toe te passen, de toegang tot SAP -applicaties van internet te beperken en te beperken en SAP -applicaties te controleren op tekenen van compromis.
