{"id":4693,"date":"2025-09-05T13:53:23","date_gmt":"2025-09-05T13:53:23","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=4693"},"modified":"2025-09-05T13:53:23","modified_gmt":"2025-09-05T13:53:23","slug":"hacker-nutzen-gravierende-schwachstelle-bei-sap-s-4hana-aus","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=4693","title":{"rendered":"Hacker nutzen gravierende Schwachstelle bei SAP S\/4HANA aus"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<p>Ein Exploit f\u00fcr die Schwachstelle wurde bereits in freier Wildbahn beobachtet.<\/p>\n<p class=\"imageCredit\">Nitpicker \/ Shutterstock<\/p>\n<\/div>\n<p><a href=\"https:\/\/www.csoonline.com\/article\/3486653\/sap-patches-critical-bugs-allowing-full-system-compromise.html\" target=\"_blank\" rel=\"noopener\">Vergangenen Monat<\/a> hat SAP einen Patch f\u00fcr S\/4HANA herausgebracht, der die kritische Schwachstelle <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-42957\" target=\"_blank\" rel=\"noopener\">CVE-2025-42957<\/a> mit einem CVSS-Score von 9,9 beheben soll. Der nun aufgetauchte Exploit erm\u00f6glicht es einem User mit geringen Berechtigungen, mittels Code-Injection in der SAP-Programmiersprache ABAP die vollst\u00e4ndige Kontrolle \u00fcber ein S\/4HANA-System zu erlangen. Alle S\/4HANA-Versionen \u2013 sowohl in der Private Cloud als auch vor Ort \u2013 sind hierf\u00fcr anf\u00e4llig.<\/p>\n<h2 class=\"wp-block-heading\">Schwachstelle patchen und beobachten<\/h2>\n<p>Administratoren, die den Patch noch nicht aufgespielt haben, sollten dies zeitnah tun: Ein Exploit, der die Sicherheitsl\u00fccke via Code-Injection ausnutzt, wurde von SecurityBridge am <a href=\"https:\/\/securitybridge.com\/blog\/critical-sap-s-4hana-code-injection-vulnerability-cve-2025-42957\/\" target=\"_blank\" rel=\"noopener\">Donnerstag<\/a> in freier Wildbahn gesichtet.<\/p>\n<p>Gl\u00fccklicherweise wurde noch nicht berichtet, dass er weit verbreitet eingesetzt wird, wie das deutsche Unternehmen in einem Blogbeitrag erkl\u00e4rte. Dennoch seien ungepatchte Systeme gef\u00e4hrdet, da Angreifer nun w\u00fcssten, wie man die L\u00fccke ausnutzen k\u00f6nne.<\/p>\n<p>Sie f\u00fcgen hinzu, dass das Reverse Engineering des Patches mit dem Ziel, einen Exploit herzustellen, in der SAP-Programmiersprache ABAP relativ einfach sei. Dies l\u00e4ge daran, dass der ABAP-Code f\u00fcr jedermann einsehbar ist.<\/p>\n<p>Da keine entsprechenden Zahlen vorliegen, ist unbekannt, wie viele Administratoren den Patch bereits installiert haben. Experten wie Juan Pablo Perez-Etchegoyen, CTO des IT-Sicherheitsanbieters Onapsis, gehen aber davon aus, dass eine gro\u00dfe Anzahl von Unternehmen den Patch am Patch Day oder kurz danach installiert h\u00e4tten. Bei einer Bewertung von 9,9 k\u00f6nne man auf die Installation nicht verzichten, selbst wenn Patches Ausf\u00e4lle bei IT-Netzwerken verursachen k\u00f6nnten, so der Experte.\u00a0<\/p>\n<p>Einige der Dinge, die ein Angreifender anrichten k\u00f6nne, w\u00e4ren laut SecurityBridge:<\/p>\n<p>Daten direkt in der SAP-Datenbank zu l\u00f6schen und einzuf\u00fcgen,<\/p>\n<p>SAP-User mit SAP_ALL zu erstellen,<\/p>\n<p>Passwort-Hashes herunterzuladen und\u00a0<\/p>\n<p>Gesch\u00e4ftsprozesse zu ver\u00e4ndern.<\/p>\n<h2 class=\"wp-block-heading\">ERP-Systeme \u2013 die untersch\u00e4tzte Schwachstelle<\/h2>\n<p>Gegen\u00fcber unserer US-Schwesterpublikation CSO erkl\u00e4rte Johannes Ullrich, Forschungsleiter am SANS (SysAdmin, Audit, Networking and Security) Institute, dass es in der Vergangenheit schwierig war, Patches auf diese komplexen Systeme anzuwenden. Viele Unternehmen m\u00fcssten daher immer noch sorgf\u00e4ltige und langwierige Tests durchf\u00fchren, bevor die Patches in Produktivumgebungen eingesetzt werden k\u00f6nnten, so der Experte.<\/p>\n<p>\u201eERP-Systeme wie SAP sind ein ernstzunehmendes und oft untersch\u00e4tztes Ziel. S\/4HANA ist eine In-Memory-Datenbank, die das SAP-ERP-System unterst\u00fctzt\u201c, so Ullrich. Wird sie kompromittiert, k\u00f6nnen sich Kriminelle nicht nur Zugriff auf die im SAP-System gespeicherten Daten verschaffen. In manchen, schlimmeren F\u00e4llen seien sie sogar in der Lage, diese Daten zu ver\u00e4ndern und damit Gesch\u00e4ftsentscheidungen negativ zu beeinflussen. \u201eDiese Angriffe, mit dem Ziel Daten zu ver\u00e4ndern, passierten oft gut getarnt und w\u00e4ren schwer zu erkennen und abzuwehren\u201c, so der Experte.<\/p>\n<p>Er erg\u00e4nzte, dass CVE-2025-42957 eine wichtige L\u00fccke im Arsenal eines jeden Angreifers schlie\u00dfen k\u00f6nne, wenn es darum ginge, S\/4HANA-Systeme anzugreifen. Das l\u00e4ge daran, wie Ullrich ausf\u00fchrte, dass ein Hacker zwar weiterhin einige Anmeldedaten ben\u00f6tigen w\u00fcrde, jetzt aber Low-Level-Zug\u00e4nge ausreichen w\u00fcrden. Diese k\u00f6nnten beispielsweise bei einem anderen Angriff erbeutet worden sein, so der Forscher.<\/p>\n<h2 class=\"wp-block-heading\">S\/4HANA ist seit Monaten unter Druck<\/h2>\n<p>Es ist nicht die erste gro\u00dfe Schwachstelle, die SAP S\/4HANA dieses Jahr verzeichnen musste: Im April wurde eine Cross-Site-Request-Forgery-Schwachstelle (CVE-2025-31328) im Learning Solution-Modul von S\/4HANA entdeckt.<\/p>\n<p>Im Februar entdeckten Forschende eine Open-Redirect-Sicherheitsl\u00fccke im Extended Application (XS) Services Advanced Model (CVE-2025-24868) von S\/4HANA. Mit dieser ist es einem nicht authentifizierten Angreifenden m\u00f6glich, einen b\u00f6sartigen Link zu erstellen, der ein ahnungsloses Opfer auf eine b\u00f6sartige Website umleitet.<\/p>\n<h2 class=\"wp-block-heading\">Ist SAP zu komplex?<\/h2>\n<p><a href=\"https:\/\/www.linkedin.com\/pulse\/common-security-vulnerabilities-sap-s4hana-how-prevent-eckhart-mehler-higlf\/\" target=\"_blank\" rel=\"noopener\">Eckhart Mehler<\/a>, ein in Deutschland ans\u00e4ssiger CISO, weist darauf hin, dass die Komplexit\u00e4t der Plattform potenzielle Sicherheitsl\u00fccken mit sich bringen k\u00f6nne: Oft w\u00e4ren fehlerhafte Konfigurationen oder Versehen urs\u00e4chlich.<\/p>\n<p>Zu den Problemen geh\u00f6rten unter anderem, dass die Default-Passw\u00f6rter von SAP-Konten beibehalten w\u00fcrden. Auch \u00fcberm\u00e4\u00dfige User Permissions, die unverschl\u00fcsselten SAP-Traffic oder Datenverkehr mit veralteten Protokollen wie TLS 1.0 zulassen, w\u00e4ren seiner Meinung nach nicht hilfreich. Unzureichendes Traffic Monitoring und Logging versch\u00e4rfe das Ganze, genau wie unsichere ABAP-Programmierpraktiken, so der Experte.<\/p>\n<h2 class=\"wp-block-heading\">SAP-Anwendungen sind bei Hackern beliebt<\/h2>\n<p>Kriminelle haben es allerdings nicht nur auf S\/4HANA abgesehen, wie Juan Pablo Perez-Etchegoyen, CTO des IT-Sicherheitsanbieters Onapsis, anmerkt. Hacker w\u00fcrden SAP-Anwendungen allgemein gerade viel Aufmerksamkeit schenken: So wurde bereits im <a href=\"https:\/\/www.csoonline.com\/article\/3974883\/sap-netweaver-kunden-sollten-dringend-ein-patch-fur-eine-kritische-zero-day-schwachstelle-installieren.html\" target=\"_blank\" rel=\"noopener\">April<\/a> ein Exploit bei SAP NetWeaver aufgedeckt.<\/p>\n<p>Hierbei handele es sich um <a href=\"https:\/\/onapsis.com\/blog\/new-exploit-for-cve-2025-31324\/\" target=\"_blank\" rel=\"noopener\">CVE-2025-31324<\/a>, einen Missing Authentication Flaw, so Perez-Etchegoyen. \u201eDaher ist es f\u00fcr Unternehmen wichtiger denn je, SAP-Sicherheit in ihre IT-Sicherheitslandschaft zu integrieren\u201c und Patches so schnell wie m\u00f6glich zu installieren, so der Experte. (tf\/ad)<\/p>\n\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Ein Exploit f\u00fcr die Schwachstelle wurde bereits in freier Wildbahn beobachtet. Nitpicker \/ Shutterstock Vergangenen Monat hat SAP einen Patch f\u00fcr S\/4HANA herausgebracht, der die kritische Schwachstelle CVE-2025-42957 mit einem CVSS-Score von 9,9 beheben soll. Der nun aufgetauchte Exploit erm\u00f6glicht es einem User mit geringen Berechtigungen, mittels Code-Injection in der SAP-Programmiersprache ABAP die vollst\u00e4ndige Kontrolle [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":4692,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-4693","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4693"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4693"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4693\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/4692"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4693"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4693"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4693"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}