Ein Exploit für die Schwachstelle wurde bereits in freier Wildbahn beobachtet.
Nitpicker / Shutterstock
Vergangenen Monat hat SAP einen Patch für S/4HANA herausgebracht, der die kritische Schwachstelle CVE-2025-42957 mit einem CVSS-Score von 9,9 beheben soll. Der nun aufgetauchte Exploit ermöglicht es einem User mit geringen Berechtigungen, mittels Code-Injection in der SAP-Programmiersprache ABAP die vollständige Kontrolle über ein S/4HANA-System zu erlangen. Alle S/4HANA-Versionen – sowohl in der Private Cloud als auch vor Ort – sind hierfür anfällig.
Schwachstelle patchen und beobachten
Administratoren, die den Patch noch nicht aufgespielt haben, sollten dies zeitnah tun: Ein Exploit, der die Sicherheitslücke via Code-Injection ausnutzt, wurde von SecurityBridge am Donnerstag in freier Wildbahn gesichtet.
Glücklicherweise wurde noch nicht berichtet, dass er weit verbreitet eingesetzt wird, wie das deutsche Unternehmen in einem Blogbeitrag erklärte. Dennoch seien ungepatchte Systeme gefährdet, da Angreifer nun wüssten, wie man die Lücke ausnutzen könne.
Sie fügen hinzu, dass das Reverse Engineering des Patches mit dem Ziel, einen Exploit herzustellen, in der SAP-Programmiersprache ABAP relativ einfach sei. Dies läge daran, dass der ABAP-Code für jedermann einsehbar ist.
Da keine entsprechenden Zahlen vorliegen, ist unbekannt, wie viele Administratoren den Patch bereits installiert haben. Experten wie Juan Pablo Perez-Etchegoyen, CTO des IT-Sicherheitsanbieters Onapsis, gehen aber davon aus, dass eine große Anzahl von Unternehmen den Patch am Patch Day oder kurz danach installiert hätten. Bei einer Bewertung von 9,9 könne man auf die Installation nicht verzichten, selbst wenn Patches Ausfälle bei IT-Netzwerken verursachen könnten, so der Experte.
Einige der Dinge, die ein Angreifender anrichten könne, wären laut SecurityBridge:
Daten direkt in der SAP-Datenbank zu löschen und einzufügen,
SAP-User mit SAP_ALL zu erstellen,
Passwort-Hashes herunterzuladen und
Geschäftsprozesse zu verändern.
ERP-Systeme – die unterschätzte Schwachstelle
Gegenüber unserer US-Schwesterpublikation CSO erklärte Johannes Ullrich, Forschungsleiter am SANS (SysAdmin, Audit, Networking and Security) Institute, dass es in der Vergangenheit schwierig war, Patches auf diese komplexen Systeme anzuwenden. Viele Unternehmen müssten daher immer noch sorgfältige und langwierige Tests durchführen, bevor die Patches in Produktivumgebungen eingesetzt werden könnten, so der Experte.
„ERP-Systeme wie SAP sind ein ernstzunehmendes und oft unterschätztes Ziel. S/4HANA ist eine In-Memory-Datenbank, die das SAP-ERP-System unterstützt“, so Ullrich. Wird sie kompromittiert, können sich Kriminelle nicht nur Zugriff auf die im SAP-System gespeicherten Daten verschaffen. In manchen, schlimmeren Fällen seien sie sogar in der Lage, diese Daten zu verändern und damit Geschäftsentscheidungen negativ zu beeinflussen. „Diese Angriffe, mit dem Ziel Daten zu verändern, passierten oft gut getarnt und wären schwer zu erkennen und abzuwehren“, so der Experte.
Er ergänzte, dass CVE-2025-42957 eine wichtige Lücke im Arsenal eines jeden Angreifers schließen könne, wenn es darum ginge, S/4HANA-Systeme anzugreifen. Das läge daran, wie Ullrich ausführte, dass ein Hacker zwar weiterhin einige Anmeldedaten benötigen würde, jetzt aber Low-Level-Zugänge ausreichen würden. Diese könnten beispielsweise bei einem anderen Angriff erbeutet worden sein, so der Forscher.
S/4HANA ist seit Monaten unter Druck
Es ist nicht die erste große Schwachstelle, die SAP S/4HANA dieses Jahr verzeichnen musste: Im April wurde eine Cross-Site-Request-Forgery-Schwachstelle (CVE-2025-31328) im Learning Solution-Modul von S/4HANA entdeckt.
Im Februar entdeckten Forschende eine Open-Redirect-Sicherheitslücke im Extended Application (XS) Services Advanced Model (CVE-2025-24868) von S/4HANA. Mit dieser ist es einem nicht authentifizierten Angreifenden möglich, einen bösartigen Link zu erstellen, der ein ahnungsloses Opfer auf eine bösartige Website umleitet.
Ist SAP zu komplex?
Eckhart Mehler, ein in Deutschland ansässiger CISO, weist darauf hin, dass die Komplexität der Plattform potenzielle Sicherheitslücken mit sich bringen könne: Oft wären fehlerhafte Konfigurationen oder Versehen ursächlich.
Zu den Problemen gehörten unter anderem, dass die Default-Passwörter von SAP-Konten beibehalten würden. Auch übermäßige User Permissions, die unverschlüsselten SAP-Traffic oder Datenverkehr mit veralteten Protokollen wie TLS 1.0 zulassen, wären seiner Meinung nach nicht hilfreich. Unzureichendes Traffic Monitoring und Logging verschärfe das Ganze, genau wie unsichere ABAP-Programmierpraktiken, so der Experte.
SAP-Anwendungen sind bei Hackern beliebt
Kriminelle haben es allerdings nicht nur auf S/4HANA abgesehen, wie Juan Pablo Perez-Etchegoyen, CTO des IT-Sicherheitsanbieters Onapsis, anmerkt. Hacker würden SAP-Anwendungen allgemein gerade viel Aufmerksamkeit schenken: So wurde bereits im April ein Exploit bei SAP NetWeaver aufgedeckt.
Hierbei handele es sich um CVE-2025-31324, einen Missing Authentication Flaw, so Perez-Etchegoyen. „Daher ist es für Unternehmen wichtiger denn je, SAP-Sicherheit in ihre IT-Sicherheitslandschaft zu integrieren“ und Patches so schnell wie möglich zu installieren, so der Experte. (tf/ad)
No Responses