Chinesische Hacker nutzen SAP-Schwachstelle aus

MÜNCHEN (IT BOLTWISE) – Eine kürzlich entdeckte Sicherheitslücke in SAP NetWeaver wird von einer mit China in Verbindung gebrachten Hackergruppe ausgenutzt. Diese Schwachstelle, bekannt als CVE-2025-31324, ermöglicht es Angreifern, über einen anfälligen Endpunkt Webshells hochzuladen und Remote-Code auszuführen.

Eine mit China in Verbindung stehende Hackergruppe, die unter dem Codenamen Chaya_004 bekannt ist, hat begonnen, eine kürzlich entdeckte Sicherheitslücke in SAP NetWeaver auszunutzen. Diese Schwachstelle, die als CVE-2025-31324 bekannt ist und eine kritische Bewertung von 10,0 auf der CVSS-Skala erhalten hat, ermöglicht es Angreifern, über einen anfälligen Endpunkt Webshells hochzuladen und Remote-Code auszuführen.

Berichten zufolge hat die Sicherheitsfirma Forescout Vedere Labs eine bösartige Infrastruktur entdeckt, die wahrscheinlich mit dieser Hackergruppe in Verbindung steht. Die Gruppe nutzt die Schwachstelle seit dem 29. April 2025 aus, um Webshells und die Brute Ratel C4 Post-Exploitation-Plattform zu implementieren.

Die Sicherheitsfirma Onapsis hat festgestellt, dass Angriffe auf Hunderte von SAP-Systemen weltweit Auswirkungen haben, die sich über verschiedene Sektoren und geografische Standorte erstrecken, darunter Energie und Versorgungsunternehmen, Fertigung, Medien und Unterhaltung, Öl und Gas, Pharmazeutika, Einzelhandel und Regierungsorganisationen.

Google-Tochter Mandiant, die ebenfalls in die Reaktion auf Vorfälle involviert ist, hat Beweise dafür, dass die erste bekannte Ausnutzung am 12. März 2025 stattfand. Seitdem haben mehrere Bedrohungsakteure begonnen, diese Schwachstelle auszunutzen, um anfällige Systeme mit Webshells anzugreifen oder sogar opportunistisch Kryptowährungen zu schürfen.

Forescout berichtet, dass Chaya_004 auch zu diesen Akteuren gehört. Dieser Akteur hostet eine webbasierte Reverse-Shell, die in Golang geschrieben ist und den Namen SuperShell trägt, unter der IP-Adresse 47.97.42[.]177. Diese IP-Adresse wurde in einer ELF-Binärdatei namens config entdeckt, die bei dem Angriff verwendet wurde.

Die Forscher Sai Molige und Luca Barba von Forescout stellten fest, dass die IP-Adresse, auf der Supershell läuft, auch mehrere offene Netzwerkverbindungen aufweist. Eine davon ist Port 3232, der auf HTTP läuft und ein ungewöhnliches, selbst generiertes Zertifikat verwendet, das vorgibt, von Cloudflare zu stammen.

Weitere Analysen ergaben, dass der Bedrohungsakteur mehrere Tools auf seiner Infrastruktur hostet: NPS, SoftEther VPN, Cobalt Strike, Asset Reconnaissance Lighthouse (ARL), Pocassit, GOSINT und GO Simple Tunnel. Die Nutzung chinesischer Cloud-Plattformen und in chinesischer Sprache geschriebener Tools deutet darauf hin, dass die Angreifer höchstwahrscheinlich in China ansässig sind.

Um sich gegen solche Angriffe zu schützen, müssen Benutzer die Patches so schnell wie möglich anwenden (falls sie dies noch nicht getan haben), den Zugriff auf den Metadaten-Uploader-Endpunkt einschränken, den Visual Composer-Dienst deaktivieren, wenn er nicht verwendet wird, und auf verdächtige Aktivitäten überwachen.

Juan Pablo JP Perez-Etchegoyen, CTO von Onapsis, erklärte gegenüber The Hacker News, dass die von Forescout beobachtete Aktivität nach der Veröffentlichung des Patches stattfindet. Laut Perez-Etchegoyen stellt diese Entwicklung ein zunehmendes Risiko dar, da nicht nur weniger erfahrene Hacker die Schwachstelle ausnutzen, sondern auch fortgeschrittene Bedrohungsakteure schnell bestehende Schwachstellen nutzen, um ihren Zugang weiter auszubauen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!