Warnung vor Angriffen auf neue SAP-Netweaver-Lücke, Chrome und Draytek-Router

Die Cybersicherheitsbehörde der USA, CISA, warnt aktuell vor beobachteten Angriffen auf eine neue SAP-Netweaver-Sicherheitslücke sowie auf Google Chrome und auf Draytek-Vigor-Router. Zwar gibt es keine näheren Informationen zu den Angriffen selbst, IT-Verantwortliche sollten jedoch zügig die attackierten Schwachstellen mit den verfügbaren Software-Updates ausbessern.

Zwar warnt die CISA in einer Sicherheitsmitteilung vor den Angriffen in freier Wildbahn, nennt dort jedoch wie üblich keinerlei Details dazu, wie die Angriffe aussehen und welchen Umfang sie haben. Im Fokus der Angreifer steht derzeit demnach eine neue kritische Sicherheitslücke in SAP Netweaver, die das Unternehmen erst am Dienstag dieser Woche am SAP-Patchday mit einem Update abgedichtet hat. Die Lücke betrifft erneut den Visual Composer, der auf vielen Netweaver-Installationen installiert wird.

Nutzer mit Zugangsrechten können nicht vertrauenswürdige oder bösartige Inhalte hochladen, die deserialisiert und dadurch offenbar ausgeführt werden (CVE-2025-42999 / EUVD-2025-14349, CVSS 9.1, Risiko "kritisch"). Die Aktualisierung sollten Admins rasch anwenden – und auch die aus dem April, da inzwischen in weiteren Angriffswellen Ransomware-Banden die erst vor etwa drei Wochen gepatchte Netweaver-Lücke ebenfalls attackieren.

Außerdem hat die CISA die Sicherheitslücke in Googles Chromium-Browser in den Katalog bekannt missbrauchter Schwachstellen (Known Exploited Vulnerabilities Catalogue, KEV) aufgenommen. Google hat sie in der Nacht zum Donnerstag mit einem Sicherheitsupdate geschlossen. Dabei gaben die Entwickler bekannt, von Exploit-Code in freier Wildbahn Kenntnis zu haben. Der wird nun offenbar für Angriffe auf Chrome-Nutzerinnen und -Nutzer missbraucht (CVE-2025-4664 / EUVD-2025-14909, CVSS 4.1, Risiko "mittel", laut Google jedoch "hoch").

Zudem müssen Admins mit Draytek-Routern Vigor2960 und Vigor300B die Firmware aktualisieren, sofern sie noch den Stand 1.5.1.4 oder älter hat. Das Skript /cgi-bin/mainfunction.cgi/apmcfgupload lässt sich mit manipulierten Argumenten zum Einschleusen von Befehlen missbrauchen, und das machen Angreifer aus dem Netz inzwischen auch. Bereits im Dezember war Exploit-Code verfügbar, der nun wohl zum EInsatz kommt. Firmware 1.5.1.5 oder neuer stopfen das Sicherheitsleck (CVE-2024-12987 / EUVD-2024-51246, CVSS 6.9, Risiko "mittel").