Alarm over zwakke plek in SAP Financial Consolidation

Het Digital Trust Center (DTC) waarschuwt voor een kwetsbaarheid in bedrijfssoftware van SAP. Het Duitse bedrijf meldde eind vorige week al dat deze kwetsbaarheid actief werd misbruikt. Nu blijkt dat aanvallers dit zwakke punt ook gebruiken om later opnieuw toegang tot systemen te krijgen.

Een van de kwetsbaarheden zit in SAP Financial Consolidation, een programma dat wordt gebruikt voor het samenvoegen, verwerken en rapporteren van financiële gegevens van meerdere dochterondernemingen . Het doel is om één geconsolideerd financieel overzicht te maken dat voldoet aan boekhoudkundige standaarden zoals IFRS of US GAAP.

Daarom heeft het DTC – de cyberdienst van het ministerie van Economische Zaken – het dreigingsniveau opgeschaald naar ‘hoog’. De organisatie meldt dat het gaat om kwetsbaarheid met kenmerk CVE-2025-31324.

Eerder meldde het Nationaal Cyber Security Centrum (NCSC) al dat deze kwetsbaarheid actief wordt misbruikt. Uit nader onderzoek blijkt dat aanvallers niet alleen toegang verkrijgen, maar ook zogenoemde webshells plaatsen via de kwetsbaarheid. Dit zijn tools waarmee ze later opnieuw toegang kunnen krijgen tot het systeem.

Deze webshells worden inmiddels ook online te koop worden aangeboden, wat het risico op grootschalig misbruik verder vergroot. Het dreigingsniveau is daarom verhoogd naar ‘High/High’. Dit betekent dat zowel de kans op misbruik als de kans op schade groot is.

De kwetsbaarheid met kenmerk CVE-2025-31324 is een kritieke kwetsbaarheid in een onderdeel van SAP NetWeaver Visual Composer, dat Metadata Uploader heet. Hierbij ontbreekt goede toegangscontrole, waardoor een kwaadwillende – zonder in te loggen – schadelijke bestanden op de server kan plaatsen. Dit vormt een groot beveiligingsrisico.

Er zijn beveiligingsupdates uitgebracht om de verschillende kwetsbaarheden te verhelpen. Het Digital Trust Center (DTC) adviseert om deze beveiligingsupdates zo snel mogelijk te (laten) installeren. Er is een noodpatch uitgebracht voor de kwetsbaarheid met kenmerk CVE-2025-31324. Het nadrukkelijke advies is om, naast de andere updates, vooral deze noodpatch in te zetten en het systeem te controleren op aanwezigheid van webshells.