Softwareleverancier SAP waarschuwt voor actief misbruik van een kritieke kwetsbaarheid (CVE-2025-31324) in SAP NetWeaver Visual Composer. Aanvallers maken niet enkel misbruik van de kwetsbaarheid, ze plaatsen ook webshells zodat ze blijvend toegang houden. Het Nationaal Cyber Security Centrum (NCSC) en SAP adviseren dringend om de noodpatch te installeren en systemen te controleren op misbruik. Het dreigingsniveau is hoog en de gevolgen kunnen groot zijn.
Een kritieke kwetsbaarheid in SAP NetWeaver Visual Composer (CVE-2025-31324) wordt momenteel actief misbruikt door aanvallers. Het lek bevindt zich specifiek in de Metadata Uploader-component, hierdoor is het mogelijk voor onbevoegden om zonder in te loggen schadelijke bestanden, zoals webshells, op de server te plaatsen. Deze webshells geven aanvallers de mogelijkheid om onbeperkt toegang te krijgen tot gecompromitteerde systemen.
Risico en dreiging verhoogd
Het actieve misbruik van de kwetsbaarheid in SAP NetWeaver werd eerder al gemeld door het NCSC, maar werd nog ontkent door SAP. Uit nader onderzoek van SAP bevestigt het nu dat aanvallers toch misbruik maken van het lek en ook succesvol webshells plaatsen. Zorgwekkend is dat deze webshells nu ook online te koop worden aangeboden, wat het risico op misbruik aanzienlijk vergroot. Het dreigingsniveau is daarom verhoogd naar High/High, wat wijst op een grote kans op zowel misbruik als schade.
Getroffen producten en updates
Hoewel de aandacht vooral uitgaat naar kwetsbaarheid CVE-2025-31324 in SAP NetWeaver Visual Composer, heeft SAP recentelijk meer updates uitgebracht. Het gaat om updates voor kwetsbaarheden in een breder scala aan producten. Hieronder vallen onder andere SAP Financial Consolidation, SAP Landscape Transformation, SAP NetWeaver Application Server ABAP, SAP Commerce Cloud, SAP ERP BW, SAP BusinessObjects Business Intelligence Platform en SAP Solution Manager. Voor de kritieke kwetsbaarheid CVE-2025-31324 is een specifieke noodpatch beschikbaar.
Dringend advies: patchen en controleren
Het dringende advies is om alle beschikbare beveiligingsupdates zo snel mogelijk te installeren met als prioriteit de noodpatch voor SAP NetWeaver kwetsbaarheid CVE-2025-31324. Organisaties wordt aangeraden contact op te nemen met hun IT-dienstverlener als er onduidelijkheid bestaat over het gebruik van de kwetsbare software. Daarnaast is het cruciaal om systemen te controleren op de aanwezigheid van reeds geplaatste webshells.