Dutch IT Chanel Logo mobile
Search icon
Wouter Hoeffnagel - 07 augustus 2025

Linux-systemen aangevallen via SAP NetWeaver-lek

Cybercriminelen maken misbruik van een recent ontdekte kwetsbaarheid in SAP NetWeaver (CVE-2025-31324) om Linux-systemen te infecteren met de Auto-Color backdoor-malware. Een aanval op een Amerikaans chemiebedrijf werd vroegtijdig gestopt.

Security
Linux-systemen aangevallen via SAP NetWeaver-lek image

De aanval begon met het misbruik van CVE-2025-31324, een kritieke kwetsbaarheid die aanvallers in staat stelt om bestanden te uploaden naar de applicatieserver en remote code uit te voeren. Via een downloadlink werd een shellscript binnengehaald, dat vervolgens leidde tot communicatie met bekende command-and-control (C2) infrastructuur. Uiteindelijk werd de Auto-Color malware gedownload, een Remote Access Trojan (RAT) die zich richt op Linux-systemen.

Onder de radar blijven

Auto-Color is ontworpen om onder de radar te blijven. De malware controleert eerst of het systeem root-toegang biedt. Indien dit het geval is, implanteert Auto-Color zichzelf diep in het systeem door gebruik te maken van de preload-functie in Linux en zichzelf te hernoemen naar een logmap-achtige locatie. De malware probeert vervolgens verbinding te maken met een hardcoded IP-adres via TLS op poort 443. Alleen wanneer deze verbinding slaagt, activeert de malware zijn volledige functionaliteit, waaronder het stelen van gegevens, uitvoeren van opdrachten en zelfverwijdering. Wanneer de verbinding mislukt, blijft de malware passief om analyse te bemoeilijken.

De eerste verdachte activiteit werd gedetecteerd op 25 april, met ongebruikelijk verkeer naar kwetsbare SAP-componenten. De daadwerkelijke exploitatie begon kort daarna, met een reeks downloads en scripts die de aanval voorbereidden. Toen het systeem uiteindelijk probeerde de Auto-Color malware binnen te halen, werd de aanval gestopt.

Gedurende zes uur probeerde Auto-Color alsnog verbinding te maken via versleutelde communicatie (TLS over poort 443), maar alle pogingen werden geblokkeerd. Omdat de malware afhankelijk is van die C2-verbinding om zijn volledige functionaliteit te activeren, schakelde deze over naar ‘slaapmodus’. De beperkingen werden verlengd met 24 uur, waardoor het beveiligingsteam van de klant tijd kreeg om de dreiging grondig te analyseren en te verhelpen. Hierdoor werd de aanval vroegtijdig ingedamd, nog voordat de malware zich volledig kon nestelen in het systeem.

Een uitgebreide technische analyse is hier te vinden.

Dutch IT events

Event icon

Event

Dutch IT Channel & Digital Realty Channel BBQ

Event icon

Event

SAIL 2025

Alle events
Gartner BN tm 12-11-2025 - 1

Over Wouter Hoeffnagel

Wouter Hoeffnagel

Wouter Hoeffnagel is Manager Online content bij Dutch IT Media

Hij is expert op het gebied van ICT en schrijft hierover al jaren in de vorm van nieuwsberichten en inzichtelijke artikelen.

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!