Ransomwaregroepen maken nu ook gebruik van lopende aanvallen op SAP NetWeaver. Ze benutten een kritieke kwetsbaarheid waarmee aanvallers op afstand code kunnen uitvoeren op kwetsbare servers.
SAP bracht op 24 april noodpatches uit voor een beveiligingslek in NetWeaver Visual Composer (CVE-2025-31324). Dit gebeurde kort nadat beveiligingsbedrijf ReliaQuest meldde dat aanvallers deze kwetsbaarheid actief misbruikten.
Door deze kwetsbaarheid kunnen aanvallers bestanden uploaden zonder in te loggen. Dit kan leiden tot volledige controle over het systeem.
In een update van hun eerdere waarschuwing meldde ReliaQuest dat ook de ransomwaregroepen RansomEXX en BianLian betrokken zijn bij deze aanvallen. Wel stellen ze dat criminelen tot nu toe geen daadwerkelijke ransomwarebestanden inzetten.
Russiche ransomwaregroep actief
Volgens ReliaQuest wijst verder onderzoek op betrokkenheid van de Russische groep BianLian en de beheerders van RansomEXX. Microsoft duidt die laatste groep aan als Storm-2460. De bevindingen wijzen erop dat meerdere criminele groepen interesse tonen in het misbruiken van deze kwetsbaarheid.
BianLian werd met matige zekerheid gelinkt aan minstens één incident. Die conclusie is gebaseerd op een IP-adres dat eerder door de groep werd gebruikt voor hun command-and-control-server.
Bij de aanvallen met RansomEXX gebruikten de aanvallers de PipeMagic-backdoor. En ze misbruikten een bekende Windows-kwetsbaarheid (CVE-2025-29824), die eerder ook in verband werd gebracht met deze groep.
ReliaQuest stelde dat de malware kort na wereldwijde aanvallen werd geïnstalleerd via webshells zoals helper.jsp en cache.jsp. Hoewel de eerste poging faalde, volgde later een aanval waarbij het Brute Ratel C2-platform werd ingezet via inline MSBuild-opdrachten.
Ook misbruik door Chinese hackgroepen
Onderzoekers van Forescout Vedere Labs hebben de aanvallen ook gelinkt aan een Chinese actiegroep, aangeduid als Chaya_004. EclecticIQ meldde dinsdag dat nog drie andere Chinese APT-groepen (UNC5221, UNC5174 en CL-STA-0048) NetWeaver-instanties aanvallen die nog niet gepatcht zijn tegen CVE-2025-31324.
Volgens Forescout zijn er minstens 581 SAP NetWeaver-instanties voorzien van een backdoor, waaronder systemen binnen kritieke infrastructuur in het VK, de VS en Saoedi-Arabië. Uit gelekte bestanden blijkt dat er plannen zijn om nog eens 1.800 domeinen aan te vallen.
Forescout waarschuwt dat de langdurige toegang via deze achterdeuren China in staat kan stellen om militaire of economische doelen na te streven. De aangetaste systemen zijn bovendien vaak verbonden met interne netwerken van industriële controlesystemen, wat risico op verdere verspreiding en verstoring van diensten inhoudt.
Maandag bracht SAP ook een patch uit voor een tweede kwetsbaarheid (CVE-2025-42999), die sinds maart werd gebruikt als zero-day in combinatie met eerdere lekken om willekeurige opdrachten uit te voeren.
Snelle update essentieel
Beheerders wordt dringend geadviseerd om hun SAP NetWeaver-servers zo snel mogelijk te updaten of de Visual Composer-component uit te schakelen als patchen niet mogelijk is. Verder is het verstandig om toegang tot metadatatools te beperken en verdachte activiteiten actief te monitoren.
De Amerikaanse CISA voegde CVE-2025-31324 twee weken geleden toe aan de lijst van bekende misbruikte kwetsbaarheden. Overheidsinstanties moeten hun servers uiterlijk op 20 mei beveiligen, in overeenstemming met richtlijn BOD 22-01.