SAP bracht beveiligingsupdates uit om een tweede kwetsbaarheid aan te pakken die recent is misbruikt in aanvallen op SAP NetWeaver-servers. Het gaat om een zero-day-lek.
De patch voor deze nieuwe kwetsbaarheid, geregistreerd als CVE-2025-42999, werd op maandag 12 mei uitgebracht. De fout werd ontdekt tijdens het onderzoek naar eerdere zero-day-aanvallen die te maken hadden met een andere kwetsbaarheid in SAP NetWeaver Visual Composer. Die eerdere fout, waarbij onbevoegde gebruikers bestanden konden uploaden (CVE-2025-31324), werd in april al opgelost.
Een woordvoerder van SAP meldt aan BleepingComputer dat het bedrijf zich bewust is van meerdere kwetsbaarheden in SAP NetWeaver Visual Composer. Het adviseert klanten dringend om de updates te installeren om zich te beschermen. De relevante beveiligingsadviezen zijn beschikbaar onder de nummers 3594142 en 3604119.
De eerste aanvallen waarbij gebruik werd gemaakt van CVE-2025-31324 werden in april opgemerkt door beveiligingsbedrijf ReliaQuest. Volgens hun onderzoek plaatsten aanvallers schadelijke JSP-webshells in publieke mappen. En gebruikten ze het Brute Ratel-hulpmiddel nadat ze via ongeoorloofde bestanduploads toegang kregen tot systemen. Opvallend was dat deze systemen al volledig gepatcht waren. Dit suggereert dat er sprake was van een onbekende kwetsbaarheid.
Chinese hackersgroep
Andere beveiligingsbedrijven zoals watchTowr en Onapsis bevestigden deze kwaadaardige activiteiten eveneens. Ze zagen hoe hackers webshells plaatsten op systemen die nog niet gepatcht waren en via het internet toegankelijk waren. Volgens Vedere Labs, onderdeel van Forescout, zijn sommige van deze aanvallen te herleiden tot een Chinese hackersgroep met de codenaam Chaya_004.
Volgens Patrice Auffret, technisch directeur bij Onyphe, waren eind april ongeveer 1.284 kwetsbare NetWeaver-instanties via het internet zichtbaar, waarvan er zeker 474 al gecompromitteerd waren. Hij merkte op dat onder de getroffen organisaties circa 20 bedrijven uit de Fortune 500 of Global 500-lijsten vallen.
De Shadowserver Foundation houdt momenteel meer dan 2.040 SAP NetWeaver-servers bij die via het internet toegankelijk en kwetsbaar zijn.
SAP heeft zelf niet bevestigd dat de nieuwe fout (CVE-2025-42999) actief werd misbruikt. Toch stelt Juan Pablo Perez-Etchegoyen, technisch directeur van Onapsis, dat aanvallers sinds januari beide kwetsbaarheden combineren in hun aanvallen.
Volgens hem maken deze aanvallen sinds maart misbruik van zowel de ontbrekende authenticatie als de onveilige verwerking van data, wat het mogelijk maakt om op afstand opdrachten uit te voeren zonder toegangsrechten. De kwetsbaarheid met betrekking tot data-verwerking zou overigens alleen misbruikbaar zijn door gebruikers met specifieke rechten in het SAP-systeem.
Beheerders van SAP-systemen wordt aangeraden om onmiddellijk de beschikbare patches te installeren. Daarnaast wordt geadviseerd om de Visual Composer-service uit te schakelen indien mogelijk, toegang tot uploadfuncties te beperken en alert te zijn op verdachte activiteiten op de servers.
Sinds het begin van de aanvallen heeft de Amerikaanse overheidsinstantie CISA de fout CVE-2025-31324 opgenomen in zijn lijst van bekende misbruikte kwetsbaarheden. Overheidsinstanties in de VS zijn verplicht om hun systemen uiterlijk op 20 mei te beveiligen, volgens een bindende richtlijn.