Kritische SAP S/4HANA-Schwachstelle wird angegriffen

Angreifer missbrauchen eine kritische Sicherheitslücke in SAPs ERP-System S/4HANA. Sie können dadurch Schadcode einschleusen. SAP hatte zum August-Patchday ein Update veröffentlicht, mit dem IT-Verantwortliche die Schwachstelle ausbessern können.

IT-Sicherheitsforscher von SecurityBridge schreiben in einer Mitteilung, dass sie einen Exploit in freier Wildbahn entdeckt haben. Sie konnten zudem verifizieren, dass bösartige Akteure im Internet den Exploit einsetzen. Daher „ist unmittelbares Patchen zwingend erforderlich“, schreiben die Autoren.

Die attackierte Schwachstelle hat den CVE-Eintrag CVE-2025-42957 erhalten (EUVD-2025-24203, CVSS 9.9, Risiko „kritisch„). SAP selbst beschrieb die Auswirkung als „Backdoor mit dem Risiko der vollständigen Kompromittierung des Systems“. Kurzgefasst können Angreifer mit niedrigen Rechten im System die vollständige Kontrolle darüber übernehmen. Diese Zugriffsrechte können sie beispielsweise mittels Phishing erlangen, die Lücke lässt sich über das Netz ohne weitere Nutzerinteraktion missbrauchen.

Missbrauch findet bereits statt

Ein weitverbreiteter Missbrauch sei noch nicht gemeldet worden, schreiben die IT-Forscher. Jedoch haben sie konkreten Missbrauch der Schwachstelle verifizieren können. Angreifer wissen demnach, wie der Exploit zu nutzen ist, was nicht gepatchte SAP-Systeme dem ausliefere. Außerdem sei es ein Leichtes, den Patch von SAP mittels Reverse Engineering für die Erstellung eines Exploits zu nutzen, da der SAP ABAP-Code offen für jeden einsehbar sei.

Die Security-Bridge-Mitarbeiter empfehlen als Gegenmaßnahme, so schnell wie möglich die Sicherheitsupdates vom SAP-Patchday im August anzuwenden. Admins sollten zudem die Implementierung von SAP UCON zur Einschränkung der Nutzung von RFC in Betracht ziehen und den Zugriff auf das Objekt „S_DMIS activity 02“ begrenzen. Die Überwachung der Log-Dateien und Prüfung auf verdächtige RFC-Aufrufe, neuer Admin-Nutzer oder unerwartete ABAP-Code-Änderungen empfehlen sie weiter. Allgemein sei eine Härtung der Systeme mittels Segmentierung, Backups und SAP-spezifischem Monitoring anzuraten.

(dmk)