Een kritieke kwetsbaarheid in SAP NetWeaver waar eind april een noodpatch voor verscheen is sinds januari al gebruikt bij aanvallen. Daarnaast maakt het beveiligingslek niet alleen het uploaden van willekeurige bestanden mogelijk, maar 'full remote command execution', zo laat securitybedrijf Onapsis weten. Dat stelt dat het honderden gecompromitteerde SAP-installaties heeft geïdentificeerd.

SAP Netweaver is een platform voor het draaien van SAP-applicaties die in veel zakelijke omgevingen worden gebruikt. Onlangs werden Nederlandse organisaties nog door het Digital Trust Center (DTC) van het ministerie van Economische Zaken gewaarschuwd voor misbruik van de kwetsbaarheid. De impact van het beveiligingslek, aangeduid als CVE-2025-31324, is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.

Onapsis heeft nu meer details over de aanvallen gegeven. Volgens het bedrijf hebben de aanvallers de kwetsbaarheid van 20 januari tot en met 10 februari gebruikt voor verkenningsdoeleinden en het testen van verschillende 'payloads'. Na 10 februari was er een toename van exploitpogingen zichtbaar. Bij gecompromitteerde SAP-servers werden webshells aangetroffen. Via een webshell kan een aanvaller toegang tot de server behouden en verdere aanvallen uitvoeren.

In eerste instantie werd gedacht dat de kwetsbaarheid alleen het uploaden van bestanden mogelijk maakte en dat aanvallers zo de webshells hadden geüpload. Onapsis zegt op basis van echt gebruikte exploits dat het beveiligingslek 'full remote command execution' (RCE) mogelijk maakt. De aanvallers hebben deze mogelijkheid gebruikt voor het plaatsen van de webshells.

Volgens Onapsis hebben de aanvallers uitgebreide kennis van SAP. Het bedrijf laat tegenover SecurityWeek weten dat het honderden gecompromitteerde SAP-servers heeft geïdentificeerd, in een groot aantal sectoren. Onapsis en securitybedrijf Mandiant hebben een opensourcetool uitgebracht waarmee organisaties hun SAP-servers op mogelijk misbruik van CVE-2025-31324 kunnen controleren.