Der August-Patchday von SAP bringt 15 neue Sicherheitsnotizen, die unter anderem kritische und hochriskante Schwachstellen in den Produkten des Unternehmens behandeln. IT-Verantwortliche sollten die bereitgestellten Aktualisierungen zügig anwenden.

Die Übersichtsseite zu den SAP-Patches zählt zudem vier aktualisierte, ältere Notizen auf. Am gravierendsten ist eine Codeschmuggel-Lücke in SAP S/4HANA, die sowohl die On-Premises- als auch die Private-Cloud-Variante betrifft. Angreifer mit Benutzerrechten können einen Fehler im Funktionsmodul missbrauchen, das über RFC angreifbar ist, und dadurch unter Umgehung „essenzieller Autorisierungsprüfungen“ beliebigen ABAP-Code ins System einschleusen. Die Schwachstelle funktioniere effektiv als Backdoor mit dem Risiko der vollständigen Kompromittierung des Systems, schreibt SAP in der Schwachstellenbeschreibung (CVE-2025-42957 / EUVD-2025-24203, CVSS 9.9, Risiko „kritisch„).

Die Fehlerbeschreibung für eine Sicherheitslücke in SAP Landscape Transformation (SLT) liest sich identisch und erreicht dieselbe Risikoeinstufung (CVE-2025-42950 / EUVD-2025-24206, CVSS 9.9, Risiko „kritisch„).

Weitere Sicherheitslücken in SAP-Produkten

Die Risikoeinstufung „hoch“ hat zudem eine Schwachstelle in SAP Business One (SLD) erhalten. Die Autorisierung darin war kaputt und ermöglicht angemeldeten Angreifern die Ausweitung ihrer Rechte (CVE-2025-42951 / EUVD-2025-24205, CVSS 8.8, Risiko „hoch„). Mehrere Lücken in SAP Netweaver erlauben etwa, Komponenten zum Absturz zu bringen und damit einen Denial-of-Service (DoS) zu provozieren (CVE-2025-42976 / EUVD-2025-24201, CVSS 8.1, Risiko „hoch„). Eine Cross-Site-Scripting-Lücke ermöglicht unangemeldeten Angreifern zudem, Links zu erstellen, die bösartigen Code in Netweaver ausführen (CVE-2025-42975 / EUVD-2025-24202, CVSS 6.1, Risiko „mittel„).

Weitere Sicherheitslücken mit mittlerem oder niedrigem Schweregrad betreffen zudem SAP S/4HANA (Bank Communication Management), SAP NetWeaver Application Server ABAP, SAP NetWeaver ABAP Platform, SAP NetWeaver Application Server ABAP (Apps basierend auf SAP GUI for HTML), SAP GUI for Windows, SAP NetWeaver AS for ABAP und ABAP Platform(Internet Communication Manager), SAP Cloud Connector und SAP Fiori (Launchpad).

Der SAP-Patchday im Juli fiel deutlich umfangreicher aus: Die Walldorfer veröffentlichten 27 Sicherheitsnotizen, von denen gleich fünf als kritisches Risiko eingeordnete Schwachstellen behandelt haben.

(dmk)

Dass man keine Post-its mit Passwörtern an Monitore klebt, sollte inzwischen jedem klar sein. Anders ist es bei der Firma SecuRam Systems Inc.: Obwohl die digitalen Safe-Schlösser als hochsicher gelten und für Geldtresore, Arzneimittel-, Drogen- oder Waffenschränke zugelassen sind, haben diese Schlösser die Sicherheit von einem Post-it mit dem Schlüssel. Die Schlösser von SecuRam werden ebenfalls in Europa eingesetzt.

Wie Mark Omo und James Rowley in ihrer Freizeit herausgefunden haben, speichern die digitalen Schlösser sowohl den symmetrischen Schlüssel als auch die verschlüsselten PINs und Master-PINs sowie die Recovery-Informationen nicht im unzugänglichen Schloss im Safe, sondern im Keypad, das von außen leicht zugänglich ist. Per Raspberry Pi haben die beiden IoT-Sicherheitsexperten ein Tool gebaut, das aus dem Keypad alle sicherheitsrelevanten Informationen auslesen kann. Praktisch war, dass der Controller im Keypad – ein Renesas RL78/G13 – auch in der Playstation 4 verbaut ist. Somit hatte die Gamehacker-Gruppe fail0verflow! schon alle Werkzeuge wie den Memory Dumper und die Tools rund um den Debug-Port erstellt.

Dabei ist der Debug-Port extrem einfach durch das Batteriefach von außen zugänglich. Auch hat der Hersteller vergessen, den Debug-Port zu fusen, also auf dem Chip unzugänglich zu machen, und hat keinen Debug-Unlock-Pin vergeben. Über ein einfaches 0000000000 erhielten die beiden den vollen Zugriff auf den Speicher.

Obwohl der Hersteller XXTEA als Cipher benutzt, bring es in diesem Fall nichts, da der Schlüssel ebenfalls im Keypad gespeichert ist. Laut Aussage von den Forschern ist diese katastrophale Situation auch darauf zurückzuführen, dass die Standards für elektronische physische Sicherheitsgeräte wie Safes absolut veraltet sind und nicht dem aktuellen Stand der Technik entsprechen.

(fo)

Bei der 33. Hackerkonferenz Def Con wurden mit den Pwnie-Awards die „Oscars“ der IT-Security verliehen. Matteo Rizzo, Kristoffer Janke, Josh Eads, Tavis Ormandy und Eduardo Vela Nava gewannen gleich zweimal: in den Kategorien „Bester Krypto-Bug“ und „Bester Desktop-Bug“. Sie fanden heraus, dass AMD seit sieben Jahren den Schlüssel aus der NIST-Dokumentation, der dort als Beispiel angegeben ist, in der Produktion benutzt hat.

Ken Gannon erhielt einen Award für das Enthüllen der komplizierten Exploitkette, mit der man ein Samsung Galaxy S24 mit sieben Bugs zum Installieren eigener APKs bringt. Den Pwnie für die beste Privilegien-Eskalation gewannen die Hacker v4bel und qwerty_po für die Linux Kernel VSOCK Quadruple Race Condition. Die Sicherheitsforscher von Qualys haben ebenfalls zwei Pwnies gewonnen: in den Kategorien „Best RCE“ (Remote Code Execution) und „Epic Achievement“ für das Enthüllen von OpenSSH-Schwachstellen.

Inwhan Chun, Isabella Siu und Riccardo Paccagnella bekamen den Pwnie für „Most Underhyped Research“ (etwa: am meisten unterbewertete Forschung). Der von ihnen entdeckte Bug „Scheduled Disclosure“ in den Energieverwaltungsalgorithmen moderner Intel-Prozessoren ermöglicht es, Power-Side-Channel-Angriffe in Remote-Timing-Angriffe umzuwandeln – und zwar effektiver als bisher und ohne Frequenz-Side-Channel-Leckage.

Der Preis für den „Most Innovative“-Beitrag ging an Angelos Beitis. Er fand im Internet mehr als vier Millionen Server, die alten, nicht authentifizierten Tunnelverkehr wie IPIP, GRE, 6in4 oder 4in6 akzeptieren. Dadurch lassen sich Quell-IP-Adressen trivial fälschen, Denial-of-Service-Angriffe durchführen und sogar Zugriffe auf interne Unternehmensnetze erlangen.

„Signal-Gruppen töten Truppen“

Außer den Awards für Sicherheitsforscher gibt es auch ironisch gemeinte „Auszeichnungen“ für Firmen und Einzelpersonen. Den Negativ-Pwnie „Lamest Vendor Response“ (etwa: schwächste Herstellerantwort) ging an die Linux-Kernelentwickler wegen der Sicherheitslücke “Linux kernel slab OOB write in hfsplus” (CVE-2025-0927). Und der Pwnie „EPIC Fail“ ging an Mike Waltz für SignalGate genannte Signal-Gruppenchat-Affäre der US-Regierung. Das Pwnie-Team überreichte ihm auch ein T-Shirt, das das Motiv eines Sicherheits-Awareness-Plakates aufgreift: „Signal Groups kill troops.“

(tiw)