Grote kans op misbruik en schade door kritieke kwetsbaarheid in SAP-systemen

Lek kwetsbaarheid vulnerability
02 mei 2025 - 07:30ActueelSecurity & AwarenessSAP
Pim van der Beek
Pim van der Beek

Waarschuwing van DTC, NCSC en Onapsis: noodpatch onmiddellijk installeren

Het Digital Trust Center (DTC), SAP-beveiligingspartner Onapsis en het Nationaal Cyber Security Centrum (NCSC) slaan alarm over een kritieke kwetsbaarheid in diverse SAP-producten. Het gaat om een kwetsbaarheid met kenmerk CVE-2025-31324, die inmiddels actief wordt misbruikt. Volgens DTC zijn er concrete aanwijzingen dat aanvallers via deze kwetsbaarheid webshells plaatsen op getroffen systemen.

Webshells zijn tools waarmee kwaadwillenden later opnieuw toegang kunnen krijgen tot het systeem. Eerder meldde het Nationaal Cyber Security Centrum (NCSC) al dat deze kwetsbaarheid actief wordt misbruikt. Uit nader onderzoek blijkt dat aanvallers niet alleen toegang kunnen krijgen, maar ook zogenoemde webshells plaatsen via de kwetsbaarheid. De webshells worden inmiddels ook op het dark web verhandeld, wat het risico op grootschalig misbruik aanzienlijk vergroot. Het DTC heeft daarom het dreigingsniveau verhoogd naar High/High, wat betekent dat zowel de kans op misbruik als de potentiële schade groot zijn.

De kwetsbaarheid zit in een component van SAP NetWeaver Visual Composer dat ‘Metadata Uploader’ heet. Volgens DTC ontbreekt hier een cruciaal toegangscontrolemechanisme, waardoor een aanvaller zonder in te loggen schadelijke bestanden naar de server kan uploaden. Naast SAP NetWeaver zijn ook andere SAP-producten getroffen (zie lijst onderaan artikel).

Noodpatch

Er is een noodpatch beschikbaar gesteld. Het DTC adviseert dringend om deze patch direct te installeren en systemen te scannen op de aanwezigheid van webshells. Verder zijn er reguliere beveiligingsupdates beschikbaar voor de overige kwetsbaarheden in de producten die in de lijst worden genoemd.

Bedrijven die niet zeker weten of ze de getroffen SAP-software draaien, doen er verstandig aan direct contact op te nemen met hun ict-dienstverlener. ‘Houd daarnaast de websites van het NCSC en SAP goed in de gaten voor verdere updates en handelingsperspectieven’, aldus het DTC. Het rapport van Onapsis is hier te vinden.

Naast SAP NetWeaver zijn ook andere SAP-producten getroffen, waaronder:  
SAP Financial Consolidation
SAP Landscape Transformation,
SAP NetWeaver Application Server ABAP
SAP Commerce Cloud,
SAP ERP BW,
SAP BusinessObjects Business Intelligence Platform
SAP KMC WPC
SAP Solution Manager
SAP S4CORE
SAP CRM

Bron: DTC.

    Whitepapers

    Computable.nl

    5 must-haves om video-onderzoek een boost te geven

    Over toekomstbestendig video-onderzoek

    Computable.nl

    Grip op de soevereine cloud

    Van bewustwording naar daadwerkelijke controle. Sleutelrol voor CIO en CFO.

    Computable.nl

    Slim verbonden en veilig georganiseerd

    Waarom connectiviteit en security onlosmakelijk verbonden zijn.

    Geef een reactie

    Meer lezen

    Footer