Kritieke SAP-fout opent de deur: kwetsbaarheid CVE-2025-31324 en de wereldwijde impact ervan

Een kritieke bug met wereldwijde reikwijdte

Een kwetsbaarheid in SAP NetWeaver , geïdentificeerd als CVE-2025-31324, is snel uitgegroeid tot een grote zorg voor IT- en beveiligingsteams wereldwijd. Met een maximale CVSS-score van 10,0 stelt deze kwetsbaarheid externe aanvallers in staat om code uit te voeren op doelsystemen zonder authenticatie, wat het een van de ernstigste beveiligingsrisico's maakt. Het probleem zit in een kwetsbaar eindpunt: /developmentserver/metadatauploader , dat aanvallers kunnen manipuleren om kwaadaardige webshells te uploaden.

Deze fout is niet alleen theoretisch. Er zijn al exploits in het wild waargenomen, waardoor tijdige patching en mitigatie cruciaal zijn voor organisaties die vertrouwen op de krachtige enterprisetools van SAP.

Wijdverbreide en vroege exploitatie

Hoewel de kwetsbaarheid pas onlangs openbaar werd gemaakt, blijkt uit forensisch onderzoek dat er mogelijk al maandenlang stilletjes op werd gevochten. Het eerste bewijs van onderzoekspogingen dateert van januari 2025 , waarbij de daadwerkelijke exploitatie waarschijnlijk medio maart begon. Beveiligingsbedrijven die SAP-systemen monitorden, merkten tussen 14 en 31 maart succesvolle implementaties van webshells op, wat duidde op een actieve inbreuk, zelfs voordat de kwetsbaarheid algemeen bekend was.

Meerdere sectoren zijn getroffen, waaronder de energiesector, de maakindustrie, de detailhandel, de overheid en media. Deze sectoroverschrijdende impact onderstreept de reikwijdte en het belang van SAP NetWeaver voor wereldwijde bedrijfsactiviteiten – en waarom een dergelijke kwetsbaarheid verstrekkende gevolgen heeft.

Chaya_004: Een opvallende speler betreedt het toneel

Onder de dreigingsactoren die deze kwetsbaarheid misbruiken, bevindt zich een groep genaamd Chaya_004 , die vermoedelijk in China gevestigd is. Hoewel er niet veel over deze groep bekend is, hebben onderzoekers hen in verband gebracht met een reeks activiteiten die verband houden met deze SAP-kwetsbaarheid. Hun tactieken omvatten het implementeren van een Golang-gebaseerde reverse shell genaamd SuperShell , samen met een toolkit met cyberaanvalstools zoals Cobalt Strike , SoftEther VPN en ARL (Asset Reconnaissance Lighthouse).

Een opvallende bevinding is het gebruik door de groep van een IP-adres (47.97.42[.]177) waarop de SuperShell-backdoor is gehost, dat ook een ongebruikelijk zelfondertekend certificaat presenteert dat doet alsof het van Cloudflare afkomstig is. Dit is waarschijnlijk een poging om detectie te voorkomen door legitieme services na te bootsen.

Een race onder cybercriminelen

Zodra een kwetsbaarheid wordt onthuld, vooral een met zo'n grote impact, begint een race. En CVE-2025-31324 is daarop geen uitzondering. Na de publieke bekendmaking hebben meerdere cybercriminele groepen zich in de strijd gemengd, die zich richten op ongepatchte systemen om webshells en, in sommige gevallen, cryptovalutaminingsoftware te implementeren. Deze opportunistische aanvallen compliceren het landschap verder, omdat ze het voor verdedigers moeilijker maken om onderscheid te maken tussen incidentele exploitatie en meer gerichte, strategische inbraken.

Deze bredere interesse in de exploit betekent dat zelfs organisaties met een bescheiden dreigingsprofiel doelwit kunnen worden, vooral als ze de implementatie van patches uitstellen of hun systemen niet beveiligen.

Implicaties voor de beveiliging van ondernemingen

De implicaties van CVE-2025-31324 reiken verder dan individuele aanvallen. Zodra een systeem is gecompromitteerd via code-uitvoering op afstand, kunnen aanvallers permanente toegang behouden, gevoelige gegevens extraheren, tussen netwerken switchen of extra malware installeren. Het gebruik van post-exploitatietools zoals Brute Ratel C4 door sommige aanvallers suggereert geavanceerde doelen, waaronder spionage op lange termijn of data-exfiltratie.

In een wereldwijde zakelijke omgeving waarin SAP-systemen vaak belangrijke operationele gegevens bevatten, kunnen dergelijke inbreuken ernstige gevolgen hebben: van verstoring van de bedrijfsvoering tot wettelijke consequenties.

Verdediging en reactie: wat organisaties moeten doen

Beveiligingsexperts adviseren dringend om onmiddellijk actie te ondernemen. Het toepassen van de officiële SAP-patches is de eerste en meest cruciale stap. Daarnaast zouden organisaties de toegang tot het kwetsbare eindpunt voor het uploaden van metadata moeten beperken en overwegen om de Visual Composer-service uit te schakelen als deze niet in gebruik is. Constante monitoring op verdacht gedrag, met name op webshell-indicatoren, kan helpen bij het detecteren van aanhoudende of poging tot inbraak.

Onderzoekers van Forescout merken op dat zelfs reeds gepatchte systemen nog steeds risico lopen als aanvallers webshells hebben geïnstalleerd vóór de herstelwerkzaamheden. Daarom moeten bij de respons ook systeemlogboeken, verkeerspatronen en endpointgedrag worden gecontroleerd om tekenen van een inbreuk te identificeren.

Conclusie

CVE-2025-31324 is een krachtige herinnering aan hoe snel cybercriminelen zich kunnen aanpassen en nieuw ontdekte zwakheden kunnen uitbuiten. Nu wereldwijde industrieën afhankelijk zijn van SAP voor bedrijfskritische functies, staat er veel op het spel. Hoewel de kwetsbaarheid ernstig is, bestaan er duidelijke verdedigingsmaatregelen – en organisaties die snel en daadkrachtig handelen, kunnen hun risico aanzienlijk verminderen.

Goed geïnformeerd, waakzaam en proactief blijven is nog steeds de beste verdediging in een omgeving waarin cyberdreigingen zich razendsnel blijven ontwikkelen.

Tegen Willa
May 12, 2025
Computer Security
Nederlands
May 12, 2025
Computer Security

Populaire posts

Wat is het bestand OperaGXSetup.exe en is het schadelijk?

12 months geleden

Eporner.com en waarom de overmatige pop-ups riskant zijn

25 days geleden

HackTool:Win32/Crack: een kwaadaardige bedreiging die uw...

8 months geleden

Begrijp en verminder de dreiging van W32.AIDetectMalware

10 months geleden

Wat is de Packunwan Trojaanse paardendreiging en welke invloed...

11 months geleden

Omega Ad Blocker: een misleidende extensie die als adware...

2 months geleden
Nederlands
Bezig met laden...

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.