Beveiligingsonderzoekers: 'Kwetsbaarheid in SAP NetWeaver Visual Composer actief uitgebuit'

Hiervoor waarschuwt Forescout. Het securitybedrijf meldt een malafide infrastructuur te hebben ontdekt van een Chinese aanvaller die het lek misbruikt. Het gaat specifiek om CVE-2025-31324, een zogeheten deserialisatiekwetsbaarheid in SAP NetWeaver Visual Composer 7.x. Het lek stelt kwaadwillenden in staat malafide binaries zoals web shells te uploaden naar kwetsbare servers. Dit maakt het mogelijk de controle over kwetsbare servers volledig over te nemen.

Chaya_004

"De CVE wordt sinds ten minste 29 april actief misbruikt in het wild, toen we actieve scans opmerkten in Forescout's Adversary Engagement Environment (AEE) en het werd toegevoegd aan CISA KEV", meldt Forescout. In haar onderzoek stuitte Forescout op een malafide infrastructuur, die het toeschrijft aan een onbekende Chinese dreigingsactor die het 'Chaya_004' noemt. "De infrastructuur omvat een netwerk van servers die Supershell-backdoors hosten, vaak geïmplementeerd op Chinese cloudproviders, en verschillende penetratietesttools, waarvan veel van Chinese oorsprong zijn", aldus Forescout.

Forescout adviseert beheerders de volgende maatregelen te nemen:

• Pas SAP-patches onmiddellijk toe
• Beperk de toegang tot metadata-uploadservices
• Schakel ongebruikte webservices uit – Als de Visual Composer-service niet essentieel is, overweeg deze volledig uit te schakelen.
• Monitor op abnormale toegang of wijzigingen in servicevermeldingen, vooral buiten onderhoudsvensters.

Meer informatie is hier te vinden.