Nederlandse SAP-omgevingen doelwit van wereldwijde cyberaanval: Kritieke kwetsbaarheid (CVE-2025-31324) actief misbruikt

13 Nederlandse organisaties lopen acuut gevaar – Rieskin IT Management waarschuwt voor directe actie

Een ongekend ernstige kwetsbaarheid in SAP NetWeaver Visual Composer is momenteel het doelwit van

grootschalige, gerichte cyberaanvallen wereldwijd. De fout, geregistreerd als CVE-2025-31324, maakt het voor aanvallers mogelijk om zonder authenticatie kwaadaardige bestanden te uploaden naar SAP-systemen – met volledige systeemovername als gevolg.

Volgens de laatste analyses zijn meer dan 1.200 SAP NetWeaver servers wereldwijd publiek toegankelijk én kwetsbaar, waaronder 13 in Nederland. Gezien de rol van SAP als hart van bedrijfsprocessen bij multinationals, overheidsinstanties en de maakindustrie, is de impact van deze kwetsbaarheid niet te onderschatten. Rieskin IT Management roept Nederlandse organisaties met klem op onmiddellijk actie te ondernemen.

Wat is CVE-2025-31324 precies?

Deze kwetsbaarheid bevindt zich in de Metadata Uploader-component van SAP NetWeaver Visual Composer – een grafische ontwikkelomgeving waarmee business analysts bedrijfsapplicaties kunnen bouwen zonder programmeerkennis. Visual Composer is niet standaard ingeschakeld, maar volgens experts van Onapsis is de module aanwezig op ten minste 50% van alle Java-gebaseerde SAP-installaties, mogelijk zelfs 70%.

De fout maakt het mogelijk om zonder enige vorm van authenticatie willekeurige uitvoerbare bestanden te uploaden, waarmee aanvallers zogenaamde webshells kunnen plaatsen. Deze webshells – met namen zoals cache.jsp, helper.jsp of willekeurige strings – geven de aanvaller directe toegang tot het systeem, inclusief de mogelijkheid om commando’s uit te voeren, gegevens te exfiltreren of persistente achterdeurtjes te installeren.

Actieve exploitatie: Nederland op de radar

Meerdere securitybedrijven – waaronder ReliaQuest, watchTowr, Rapid7, Onapsis, Mandiant en Nextron Research – hebben bevestigd dat deze kwetsbaarheid sinds maart 2025 actief wordt misbruikt. Aanvallers gebruiken de kwetsbaarheid om webshells te droppen, waarmee ze vervolgens systemen verkennen, commando’s uitvoeren en gevoelige data in kaart brengen of exfiltreren.

Volgens The Shadowserver Foundation zijn wereldwijd 427 kwetsbare servers in kaart gebracht. De verdeling per land is als volgt:

• Verenigde Staten: 149 systemen

• India: 50

• Australië: 37

• China: 31

• Duitsland: 30

• Nederland: 13

• Brazilië: 10

• Frankrijk: 10

Een aanvullende scan door Onyphe brengt het aantal kwetsbare servers zelfs op 1.284, waarvan 474 systemen reeds gecompromitteerd zijn.

Waarom grijpen organisaties niet sneller in?

Veel van de getroffen organisaties draaien verouderde SAP-installaties – in sommige gevallen ouder dan 10 jaar – die diep verweven zijn met kritieke bedrijfsprocessen. Het tijdelijk offline halen van dergelijke systemen voor patching wordt vaak als ‘operationeel te riskant’ beschouwd. Ironisch genoeg verhoogt dit juist de aanvalsoppervlakte en kwetsbaarheid.

Het ontbreken van zichtbare schade of datalekken is geen geruststelling. SAP gaf in een verklaring aan vooralsnog geen bevestigde klantimpact te zien, maar dat zegt weinig over toekomstige risico’s. Aanvallen zijn momenteel volop in uitvoering en het ontbreken van zichtbare schade is géén bewijs van veiligheid.

Reactie van SAP en tijdlijn van de kwetsbaarheid

• Begin april: SAP werd op de hoogte gebracht van de kwetsbaarheid door ReliaQuest.

• 8 april: SAP bracht een tijdelijke workaround uit.

• 24 april: Na nieuwe inlichtingen werd een emergency patch uitgebracht.

• 28 april: De fout werd publiekelijk bevestigd als CVE-2025-31324, met een CVSS-score van 10.0 (maximaal).

De kwetsbaarheid werd ook op 30 april toegevoegd aan de CISA’s “Known Exploited Vulnerabilities Catalog”, wat bevestigt dat de fout actief en grootschalig wordt misbruikt.

Aanbevelingen van Rieskin IT Management

Organisaties die SAP NetWeaver draaien – zeker wanneer Visual Composer actief is – moeten onmiddellijk handelen om verdere compromittering te voorkomen. Hieronder een beproefd stappenplan:

1. Patch onmiddellijk

Implementeer de officiële SAP-patch van 24 april. Dit is de enige structurele oplossing voor CVE-2025-31324.

2. Beperk toegang

Beperk netwerktoegang tot het endpoint:

/developmentserver/metadatauploader

3. Schakel Visual Composer uit (indien niet in gebruik)

Veel systemen draaien deze module zonder dat deze wordt gebruikt. Uitschakeling voorkomt onnodige risico's.

4. Zoek naar tekenen van compromittering

• Scan de servlet-mappen op verdachte bestanden, zoals .jsp-bestanden met willekeurige of verdachte namen.

• Gebruik tools zoals die van RedRays om CVE-2025-31324 snel te detecteren in uw omgeving.

• Analyseer SIEM-logs op afwijkend gedrag, brute force-aanvallen en onbekende commando’s.

5. Inventariseer en auditeer

Laat een volledige security-audit uitvoeren van uw SAP NetWeaver-installaties, vooral wanneer deze ouder zijn dan vijf jaar.

Wat betekent dit voor Nederlandse organisaties?

De aanwezigheid van 13 kwetsbare systemen in Nederland is een ernstige indicatie dat ook Nederlandse bedrijven doelwit zijn van een wereldwijde campagne. Deze systemen kunnen zich bevinden bij multinationals, logistieke hubs, productiebedrijven of instellingen binnen de (semi-)publieke sector. Vertrouwen op netwerkperimeters of firewalls is onvoldoende: de kwetsbaarheid vereist geen authenticatie en is dus ook inzetbaar via gecompromitteerde supply chains.

Hoe kan Rieskin IT Management helpen?

Rieskin IT Management biedt specialistische ondersteuning bij:

• Patchimplementatie & monitoring

• Threat hunting & forensische analyse

• Quickscan op kwetsbare SAP-componenten

• SIEM-integratie en loganalyse

• Beveiligingsadvies rond legacy SAP-omgevingen

Wij vertalen complexe cybersecuritydreigingen naar heldere actiepunten voor directie, management en operationele IT-teams. Boek een vrijblijvende kennismaking met Rieskin IT Management.

CVE-2025-31324 is geen hypothetische dreiging. De kwetsbaarheid wordt actief misbruikt en treft ook Nederlandse infrastructuur. Organisaties die SAP gebruiken hebben de verantwoordelijkheid om hun IT-landschap structureel te beveiligen, juist waar het ongemakkelijk wordt: in de oude, diep verweven systemen die ‘niet zomaar offline’ kunnen.

Laat kwetsbaarheid niet tot ramp leiden. Neem vandaag nog contact op met Rieskin IT Management voor een vrijblijvend adviesgesprek.