Kritiek SAP-beveiligingslek actief misbruikt

Kritiek SAP-beveiligingslek actief misbruikt

Bedrijven die SAP NetWeaver gebruiken, lopen een hoog risico door een actief uitgebuite kwetsbaarheid. Het NCSC en SAP roepen op om onmiddellijk beveiligingsupdates en een noodpatch te installeren.

SAP en het Nederlandse Nationaal Cyber Security Centrum (NCSC) melden actief misbruik van CVE-2025-31324, een kwetsbaarheid in het Visual Composer-onderdeel van SAP NetWeaver. Aanvallers maken via deze fout ongeauthenticeerde toegang tot systemen mogelijk. Ze kunnen vervolgens kwaadaardige bestanden en webshells, uploaden. Met deze tools verkrijgen ze blijvende toegang tot het systeem, zelfs na herstarten of andere ingrepen.

Noodpatch

Het Digital Trust Center in Nederland en SAP benadrukken dat de noodpatch onmiddellijk moet worden geïnstalleerd. De dreiging wordt als ernstig geclassificeerd: zowel de kans op misbruik als de mogelijke schade zijn groot. Inmiddels worden de webshells actief verhandeld op het dark web, wat het risico op grootschalige aanvallen verhoogt.

De kwetsbaarheid treft onder andere SAP NetWeaver Application Server Java, waar Visual Composer vaak geactiveerd is, hoewel het niet standaard geïnstalleerd wordt. Visual Composer maakt het mogelijk om applicaties zonder programmeerkennis te ontwikkelen, maar bevat een fout in het onderdeel Metadata Uploader. Hierdoor kunnen criminelen zonder in te loggen bestanden uploaden via HTTP-verzoeken.

Actief misbruik

Volgens beveiligingsbedrijf Onapsis is de fout sinds januari 2025 doelwit van scanning en sinds maart worden succesvolle aanvallen gemeld. Diverse organisaties hebben compromittering bevestigd. De Amerikaanse CISA heeft CVE-2025-31324 op 29 april toegevoegd aan de lijst van bekende kwetsbaarheden die actief worden misbruikt.

SAP heeft naast de noodpatch ook richtlijnen gepubliceerd voor klanten die (nog) niet kunnen updaten. Voor hen is het onder andere mogelijk om het kwetsbare component volledig te verwijderen. Onapsis en Mandiant stelden bovendien scanners en YARA-regels beschikbaar om tekenen van inbraak (Indicators of Compromise) op te sporen.

SAP-gebruikers doen er goed aan hun systemen onmiddellijk te controleren op aanwezigheid van Visual Composer (VCFRAMEWORK) en te controleren op verdachte bestanden, zoals helper.jsp en cache.jsp. Worden deze aangetroffen, dan is een systeem vermoedelijk gecompromitteerd.