Honderden SAP NetWeaver-installaties die vanaf internet toegankelijk zijn bevatten een zeer kritieke kwetsbaarheid waardoor systemen op afstand zijn te compromitteren, zo laat The Shadowserver Foundation op basis van eigen onderzoek weten. SAP kwam vorige week met een noodpatch voor het probleem, aangeduid als CVE-2025-31324. SAP Netweaver is een platform voor het draaien van SAP-applicaties.

Via het beveiligingslek kan een ongeautoriseerde aanvaller onbeperkt bestanden naar het systeem uploaden en die vervolgens uitvoeren. Zo kan een aanvaller gevoelige informatie stelen of bijvoorbeeld ransomware uitrollen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. The Shadowsever Foundation is een stichting die zich bezighoudt met de bestrijding van cybercrime en doet geregeld onderzoek naar kwetsbare systemen op internet.

Voor het laatste onderzoek werd een online scan naar kwetsbare NetWeaver-installaties uitgevoerd. Dit leverde 454 ip-adressen op, waarvan dertien in Nederland. Het grootste deel van de kwetsbare installaties bevindt zich in de Verenigde Staten, India en Australië. Organisaties die door The Shadowsever Foundation over kwetsbare installaties worden ingelicht krijgen het advies om op de aanwezigheid van webshells te controleren. Dit zijn programma's die aanvallers op kwetsbare servers installeren om zo toegang te behouden en verdere aanvallen uit te voeren.