SAP Patch Day: April 2025

Kritische Code Injection-Schwachstelle in SAP System Landscape Transformation (SLT) und S/4HANA

Die Analyse der SAP Security Notes im April umfasst folgende Highlights:

• April-Zusammenfassung — SAP hat insgesamt zwanzig neue und aktualisierte Sicherheitshinweise veröffentlicht, darunter drei Hot News und fünf Hinweise mit hoher Priorität.
• SAP Hot News Notes — Ein RFC-fähiges Funktionsmodul ermöglicht die Einschleusung von beliebigem ABAP-Code.
• Beitrag der Onapsis Research Labs — Das Onapsis-Team unterstützte SAP bei der Schließung von zwei Schwachstellen, darunter eine mit hoher Priorität.

Zum April Patch Day hat SAP zwanzig neue und aktualisierte SAP Security Notes veröffentlicht – darunter drei als Hot News und fünf als High Priority klassifizierte Hinweise. Zwei der siebzehn neuen Notes wurden in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht. 

Die Hot News Notes im Detail

Die beiden SAP-Sicherheitshinweise #3587115 und #3581961, die mit einem CVSS-Score von 9.9 versehen sind, beheben eine sehr kritische Code-Injection-Schwachstelle, die es Angreifern ermöglicht, beliebigen ABAP-Code remote in einem System zu erzeugen. Während der erste Hinweis das optionale SAP Data Migration Server (DMIS) Add-On in SAP ECC betrifft, behebt der zweite Hinweis die gleiche Schwachstelle in S/4HANA. Beide Patches deaktivieren denselben remote-fähigen Funktionsbaustein. Wenn er nicht gepatcht ist, akzeptiert der Funktionsbaustein einen beliebigen Text als Eingabeparameter und generiert einen ABAP-Bericht auf der Grundlage dieser Eingabe unter Verwendung der INSERT REPORT-Anweisung. Für einen erfolgreichen Exploit ist lediglich eine S_RFC-Berechtigung auf dem jeweiligen Funktionsbaustein oder auf der entsprechenden Funktionsgruppe erforderlich.

Der SAP Security Note #3572688, der mit einem CVSS-Score von 9.8 versehen ist, behebt eine Authentication Bypass-Schwachstelle in SAP Financial Consolidation. Aufgrund eines ungeeigneten Authentifizierungsmechanismus können sich nicht authentifizierte Angreifer als Admin ausgeben, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung hat.

Die High Priority Notes im Detail

Das Team der Onapsis Research Labs (ORL) hat dazu beigetragen, eine Schwachstelle in NetWeaver Application Server ABAP (Mixed Dynamic RFC Destination) zu beheben. Das ORL-Team entdeckte, dass der Patch für eine Schwachstelle in Bezug auf die Offenlegung von Informationen, der im SAP-Sicherheitshinweis #3469791 vom Dezember 2024 bereitgestellt wurde, umgangen werden konnte. SAP Security Note #3554667, gekennzeichnet mit einem CVSS-Score von 8.5, schließt nun diese Lücke. Kunden, die den Workaround für den Dezember-Hinweis durch Setzen des Profilparameters rfc/dynamic_dest_api_only auf 1 angewendet haben, sind von der Sicherheitslücke nicht betroffen. Dennoch empfehlen wir dringend, den mit dem SAP Sicherheitshinweis #3554667 bereitgestellten Kernel-Patch zu implementieren, da der Workaround unerwartete Nebeneffekte auf SAP-Standardanwendungen haben könnte.

SAP Security Note #3525794 ist mit einem CVSS-Score von 8.8 gekennzeichnet und ein aktualisierter Hinweis, der ursprünglich im Februar 2025 veröffentlicht wurde. Der Hinweis behebt eine Schwachstelle in der SAP BusinessObjects Business Intelligence-Plattform, die eine unzulässige Autorisierung ermöglicht. Die Aktualisierung enthält einige kleinere Textaktualisierungen und Änderungen im CVSS-Vektor.

SAP Security Note #3590984 ist mit einem CVSS-Score von 8.1 versehen und behebt eine Time-of-check Time-of-use (TOCTOU) Race Condition-Schwachstelle in SAP Commerce Cloud. Das Problem besteht, weil SAP Commerce Cloud Versionen von Apache Tomcat verwendet, die für CVE-2024-56337 anfällig sind. SAP gibt an, dass „SAP Commerce Cloud nicht ohne weiteres ausnutzbar ist“, da ein erfolgreicher Angriff von einer Servereinstellung abhängt, die außerhalb der Kontrolle des Angreifers liegt. Der Hinweis listet insgesamt drei Bedingungen auf, die erfüllt sein müssen und von denen keine standardmäßig gilt. Dennoch wird ein Patching dringend empfohlen, da ein anfälliges Szenario zu einer vollständigen Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems führen kann.

Der SAP Sicherheitshinweis #3581811 befasst sich mit SAP NetWeaver Application Server ABAP und ABAP Platform. Der Hinweis ist mit einem CVSS-Score von 7.7 versehen und behebt eine Directory Traversal-Schwachstelle. Der betroffene remote-fähige Funktionsbaustein wurde durch die Implementierung mehrerer Sicherheitsmaßnahmen verbessert. Zusätzlich zu einer erweiterten Berechtigungsprüfung werden nun einige sensible Verzeichnisse explizit ausgeschlossen und relative Pfadnamen zurückgewiesen.

Eine weitere Directory Traversal-Schwachstelle, die ebenfalls mit einem CVSS-Score von 7.7 versehen ist, wird mit dem SAP Security Note #2927164 gepatcht. Diese Schwachstelle betrifft SAP Capital Yield Tax Management und ermöglicht es Angreifern mit niedrigen Privilegien, Dateien aus Verzeichnissen zu lesen, auf die sie sonst keinen Zugriff hätten.

Der Beitrag von Onapsis

Zusätzlich zum SAP-Sicherheitshinweis mit hoher Priorität #3554667 hat das Team der Onapsis Research Labs (ORL) dazu beigetragen, eine Schwachstelle in SAP KMC WPC zu beheben, die die Offenlegung von Informationen ermöglicht.

Der SAP-Sicherheitshinweis #3568307, der mit einem CVSS-Score von 5.3 versehen ist, behebt das Problem. Bleibt die Schwachstelle ungepatcht, können nicht authentifizierte Angreifer remote eine Parameterabfrage starten, um Benutzernamen abzurufen. Dadurch können vertrauliche Informationen preisgegeben werden, was die Vertraulichkeit der Anwendung beeinträchtigt.

Zusammenfassung und Fazit

Mit zwanzig SAP-Sicherheitshinweisen, darunter drei Hot News-Hinweise und fünf Hinweise mit hoher Priorität, bedeutet der SAP April-Patch-Day wieder viel Arbeit.

Wie immer aktualisieren die Onapsis Research Labs bereits die Onapsis-Plattform, um die neu veröffentlichten Schwachstellen im Produkt zu berücksichtigen, damit Unternehmen sich optimal schützen können.

Für weitere Informationen über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen, Wissen mit der Security-Community zu teilen, abonnieren Sie den monatlichen Defenders Digest Onapsis Newsletter auf LinkedIn.

Weitere Informationen und Details zu allen Sicherheitshinweisen finden Sie hier auf dem Onapsis-Blog.