Angreifer missbrauchen eine kritische Sicherheitslücke in SAPs ERP-System S/4HANA. Sie können dadurch Schadcode einschleusen. SAP hatte zum August-Patchday ein Update veröffentlicht, mit dem IT-Verantwortliche die Schwachstelle ausbessern können.

IT-Sicherheitsforscher von SecurityBridge schreiben in einer Mitteilung, dass sie einen Exploit in freier Wildbahn entdeckt haben. Sie konnten zudem verifizieren, dass bösartige Akteure im Internet den Exploit einsetzen. Daher "ist unmittelbares Patchen zwingend erforderlich", schreiben die Autoren.

Die attackierte Schwachstelle hat den CVE-Eintrag CVE-2025-42957 erhalten (EUVD-2025-24203, CVSS 9.9, Risiko "kritisch"). SAP selbst beschrieb die Auswirkung als "Backdoor mit dem Risiko der vollständigen Kompromittierung des Systems". Kurzgefasst können Angreifer mit niedrigen Rechten im System die vollständige Kontrolle darüber übernehmen. Diese Zugriffsrechte können sie beispielsweise mittels Phishing erlangen, die Lücke lässt sich über das Netz ohne weitere Nutzerinteraktion missbrauchen.

Ein weitverbreiteter Missbrauch sei noch nicht gemeldet worden, schreiben die IT-Forscher. Jedoch haben sie konkreten Missbrauch der Schwachstelle verifizieren können. Angreifer wissen demnach, wie der Exploit zu nutzen ist, was nicht gepatchte SAP-Systeme dem ausliefere. Außerdem sei es ein Leichtes, den Patch von SAP mittels Reverse Engineering für die Erstellung eines Exploits zu nutzen, da der SAP ABAP-Code offen für jeden einsehbar sei.

Die Security-Bridge-Mitarbeiter empfehlen als Gegenmaßnahme, so schnell wie möglich die Sicherheitsupdates vom SAP-Patchday im August anzuwenden. Admins sollten zudem die Implementierung von SAP UCON zur Einschränkung der Nutzung von RFC in Betracht ziehen und den Zugriff auf das Objekt "S_DMIS activity 02" begrenzen. Die Überwachung der Log-Dateien und Prüfung auf verdächtige RFC-Aufrufe, neuer Admin-Nutzer oder unerwartete ABAP-Code-Änderungen empfehlen sie weiter. Allgemein sei eine Härtung der Systeme mittels Segmentierung, Backups und SAP-spezifischem Monitoring anzuraten.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellen

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo

Original Link
(Ursprünglich geschrieben von Heise)