Lek kwetsbaarheid vulnerability

Grote kans op misbruik en schade door kritieke kwetsbaarheid in SAP-systemen

02 mei 2025 - 07:30ActueelSecurity & AwarenessSAP
Pim van der Beek
Pim van der Beek

Waarschuwing van DTC, NCSC en Onapsis: noodpatch onmiddellijk installeren

Het Digital Trust Center (DTC), SAP-beveiligingspartner Onapsis en het Nationaal Cyber Security Centrum (NCSC) slaan alarm over een kritieke kwetsbaarheid in diverse SAP-producten. Het gaat om een kwetsbaarheid met kenmerk CVE-2025-31324, die inmiddels actief wordt misbruikt. Volgens DTC zijn er concrete aanwijzingen dat aanvallers via deze kwetsbaarheid webshells plaatsen op getroffen systemen.

Webshells zijn tools waarmee kwaadwillenden later opnieuw toegang kunnen krijgen tot het systeem. Eerder meldde het Nationaal Cyber Security Centrum (NCSC) al dat deze kwetsbaarheid actief wordt misbruikt. Uit nader onderzoek blijkt dat aanvallers niet alleen toegang kunnen krijgen, maar ook zogenoemde webshells plaatsen via de kwetsbaarheid. De webshells worden inmiddels ook op het dark web verhandeld, wat het risico op grootschalig misbruik aanzienlijk vergroot. Het DTC heeft daarom het dreigingsniveau verhoogd naar High/High, wat betekent dat zowel de kans op misbruik als de potentiële schade groot zijn.

De kwetsbaarheid zit in een component van SAP NetWeaver Visual Composer dat ‘Metadata Uploader’ heet. Volgens DTC ontbreekt hier een cruciaal toegangscontrolemechanisme, waardoor een aanvaller zonder in te loggen schadelijke bestanden naar de server kan uploaden. Naast SAP NetWeaver zijn ook andere SAP-producten getroffen (zie lijst onderaan artikel).

Noodpatch

Er is een noodpatch beschikbaar gesteld. Het DTC adviseert dringend om deze patch direct te installeren en systemen te scannen op de aanwezigheid van webshells. Verder zijn er reguliere beveiligingsupdates beschikbaar voor de overige kwetsbaarheden in de producten die in de lijst worden genoemd.

Bedrijven die niet zeker weten of ze de getroffen SAP-software draaien, doen er verstandig aan direct contact op te nemen met hun ict-dienstverlener. ‘Houd daarnaast de websites van het NCSC en SAP goed in de gaten voor verdere updates en handelingsperspectieven’, aldus het DTC. Het rapport van Onapsis is hier te vinden.

Naast SAP NetWeaver zijn ook andere SAP-producten getroffen, waaronder:  
SAP Financial Consolidation
SAP Landscape Transformation,
SAP NetWeaver Application Server ABAP
SAP Commerce Cloud,
SAP ERP BW,
SAP BusinessObjects Business Intelligence Platform
SAP KMC WPC
SAP Solution Manager
SAP S4CORE
SAP CRM

Bron: DTC.

    Whitepapers

    Computable.nl

    Bouw de AI-organisatie niet op los zand

    Wat is de afweging tussen zelf bouwen of het benutten van cloud?

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Computable.nl

    De weg van dataverzameling naar impact

    Iedere organisatie heeft data, maar niet iedereen weet hoe je het goed gebruikt. Hoe zet je waardevolle informatie om in actie?

    Meer lezen

    Geef een reactie

    Footer