SAP Patch Day Mai 2025: Kritische Lücken in Visual Composer erfordern schnelles Handeln

14. Mai 2025

Beim aktuellen SAP Patch Day hat das Softwareunternehmen insgesamt 22 neue und überarbeitete Sicherheitshinweise veröffentlicht. Darunter befinden sich vier als HotNews eingestufte Hinweise sowie fünf weitere mit hoher Priorität. Besonders dringlich: Eine kritische Sicherheitslücke im SAP Visual Composer, die eine unsichere Deserialisierung ermöglicht, muss umgehend geschlossen werden.

Ein zentraler Beitrag zur Sicherheitsverbesserung kam von den Onapsis Research Labs. Die Sicherheitsexperten unterstützten SAP bei der Identifikation und Behebung von insgesamt neun Schwachstellen, die in sechs verschiedenen Sicherheitshinweisen adressiert wurden.

SAP-Kunden wird empfohlen, die aktuellen Patches zeitnah einzuspielen, insbesondere jene, die kritische Komponenten wie den Visual Composer betreffen.

Zum April Patch Day hat SAP zweiundzwanzig neue und aktualisierte SAP Security Notes veröffentlicht – darunter vier als HotNews und fünf als High Priority klassifizierte Hinweise. Sechs der neunzehn neuen Notes wurden in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht. 

Die HotNews Notes im Detail

Die SAP Security Note #3594142, die mit dem höchstmöglichen CVSS-Score von 10.0 versehen ist, wurde am 24. April von SAP in einem Emergency Release veröffentlicht. Der Hinweis behebt eine kritische Schwachstelle in SAP Visual Composer („Missing Authorization Check“), die unter CVE-2025-31324 geführt wird. Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern, potenziell böswillig ausführbare Programmdateien hochzuladen, die das Hostsystem schwer schädigen können. Ein Emergency Release war erforderlich, da SAP und externe Forschungsorganisationen bereits aktive Exploits der Schwachstelle identifiziert hatten.

Am 29. April 2025 nahm die CISA die Sicherheitslücke in ihren „Known Exploited Vulnerabilities Catalog“ auf.

Onapsis entdeckte umfangreiche Aktivitäten von Angreifern, die öffentliche Informationen nutzen, um Exploits auszulösen und Webshells zu missbrauchen, die von den ursprünglichen – inzwischen untergetauchten – Angreifern stammen. Die Onapsis Research Labs (ORL) und andere Sicherheitsfirmen sehen Anzeichen für weitere Angreifer, die bestehende Webshells aus der vorherigen Angriffskampagne nutzen, um neue Angriffe zu starten.

Die Onapsis Research Labs (ORL) haben alle wichtigen Hintergrundinformationen über die Schwachstelle und die damit verbundenen bösartigen Aktivitäten in diesem Blogbeitrag zusammengefasst, inklusive einer Liste von IP-Adressen, bei denen Exploits der Schwachstelle beobachtet wurden. Zusätzlich haben die Onapsis Research Labs (ORL) einen Open-Source-Scanner für CVE-2025-31324 für alle SAP-Kunden veröffentlicht. Detaillierte Informationen finden Sie hier.

Während der Analyse der Angriffe im Zusammenhang mit CVE-2025-31324 konnten die Onapsis Research Labs (ORL) zusätzliche Informationen über das Vorgehen der Angreifer an SAP übermitteln. SAP hat sehr schnell auf diese neuen Informationen reagiert und einen zusätzlichen Patch zur Verfügung gestellt, um den Schutz vor dem aktiven Exploit zu verbessern. Die SAP Security Note #3604119, bewertet mit einem CVSS-Score von 9.1, behebt die entsprechende Schwachstelle in der Deserialisierung. Es wird dringend empfohlen, das entsprechende FAQ-Dokument 3605597 und den beigefügten KBA-Hinweis #3593336 zu lesen. Da beide HotNews-Hinweise, #3594142 und #3604119, nur automatisierte Korrekturen für SAP NetWeaver Java AS 7.50 enthalten, umfasst der KBA-Hinweis wichtige Instruktionen für Kunden mit früheren Versionen.

Die HotNews-Hinweise #3587115 und #3581961, jeweils mit CVSS-Score 9.9, sind Aktualisierungen von Patches, die ursprünglich zum SAP April Patch Day veröffentlicht wurden. Die SAP Security Note #3587115 behebt eine Code-Injection-Schwachstelle in SAP Landscape Transformation. Das Update enthält nun auch Patches für die zusätzlichen Softwarekomponenten-Versionen DMIS 2018 und DMIS 2020. Bei der SAP Security Note #3581961 hat SAP lediglich den Titel aktualisiert, um darauf hinzuweisen, dass auch On-Premise-Installationen von S/4HANA von der Sicherheitslücke betroffen sind.

Die High Priority Notes im Detail

Die SAP Security Note #3578900, mit einem CVSS-Score von 8.6, behebt fünf Schwachstellen in SAP Supplier Relationship Management (Live Auction Cockpit), vier davon in Zusammenarbeit mit den Onapsis Research Labs (ORL). Die Schwachstellen betreffen eine ältere Version des Live Auction Cockpits, die auf der Java-Applet-Technologie basiert. Sie wirken sich hauptsächlich auf die Vertraulichkeit der Anwendung aus. Diese Version des Cockpits ist nicht mehr aktuell und wurde in SRM_SERVER 7.0 EHP4 SP06 und in neuen Installationen von SRM 7.14 ersetzt. Bei bestehenden Integrationen von SRM 7.14 kann die betroffene Software-Komponentenversion SAP LACWPS 6.0 NW7.3 nicht mehr eingesetzt werden.

Die SAP Security Note #3600859 (CVSS-Score: 8.3) behebt eine Code Injection-Schwachstelle in SAP S/4HANA Cloud Private Edition und On Premise. Ein remote-fähiges Funktionsmodul der SCM Master Data Layer (MDL)-Anwendung ermöglicht es einem nicht authentifizierten Angreifer, beliebige ABAP-Programme, einschließlich SAP-Standardprogramme, zu ersetzen. Der Patch deaktiviert den Funktionsmodul vollständig.

Die SAP Security Note #3586013, gekennzeichnet mit einem CVSS-Score von 7.9, adressiert eine Information Disclosure-Schwachstelle im Promotion Management Wizard (PMW) der SAP Business Objects Business Intelligence Platform. Die Verzeichnis- und Dateidialoge ermöglichen den Zugriff auf bestimmte ausführbare Dateien, mit denen auf normalerweise gesperrte Informationen zugegriffen werden kann. Dies hat hohe Auswirkungen auf die Vertraulichkeit sowie geringe Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung.

Die SAP Security Note #3591978, die mit einem CVSS-Score von 7.7 versehen ist, wurde von SAP in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht. Das Team der Onapsis Research Labs (ORL) identifizierte ein remote-fähiges Funktionsmodul im PCL-Basismodul von SAP Landscape Transformation, das nicht die erforderlichen Berechtigungsprüfungen durchführt, um den Zugriff auf die bereitgestellten Funktionen und Daten zu beschränken.

Bei der mit einem CVSS-Score von 7.7 bewertete SAP Security Note #3483344 handelt es sich um das vierte Update eines Patches, der ursprünglich im Juli 2024 in Zusammenarbeit mit Onapsis veröffentlicht wurde. Der Patch, der eine Sicherheitslücke in SAP PDCE behebt, ist nun für weitere Softwarekomponenten und Support Package Level verfügbar. 

Der Beitrag von Onapsis

Zusätzlich zu einem HotNews-Hinweis und zwei Hinweisen mit hoher Priorität unterstützten die Onapsis Research Labs (ORL) SAP bei der Behebung von drei Schwachstellen mit mittlerer Priorität.

Der SAP-Sicherheitshinweis #3577300 (CVSS-Score: 6.6) behebt eine Schwachstelle in der Offenlegung von Informationen im SAP Gateway Client. Die Onapsis Research Labs (ORL) haben festgestellt, dass der SAP Gateway Client unter bestimmten Bedingungen Daten preisgibt, die missbraucht werden könnten, um die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung zu beeinträchtigen.

Der SAP Security Note #3577287 mit einem CVSS-Score von 6.2 adressiert eine Schwachstelle in SAP NetWeaver Application Server ABAP und ABAP Platform, die eine Offenlegung von Informationen ermöglicht. Eine unzureichende Eingabevalidierung bei einigen Feldern in der Transaktion SM59 ermöglicht es Angreifern mit administrativen Rechten, Konfigurationseinstellungen zu manipulieren. Wenn ein Opfer darauf zugreift, werden sensible Informationen, wie z.B. Benutzeranmeldeinformationen, offengelegt.

SAP Security Note #3588455, die mit einem CVSS-Score von 6.1 gekennzeichnet ist, behebt eine Cross-Site-Scripting (XSS)-Schwachstelle in SAP Supplier Relationship Management. Aufgrund der fehlenden Eingabevalidierung im Master Data Management Catalogue können nicht authentifizierte Angreifer bösartige Skripte in der Anwendung ausführen, was sich leicht auf deren Vertraulichkeit und Integrität auswirkt.

Zusammenfassung und Fazit

Aus dem SAP Patch Day im Mai lassen sich zwei Lehren ziehen:

1. Das sofortige Patchen von kritischen Sicherheitslücken ist ein MUSS. Es ist mittlerweile gängige Praxis, dass immer dann, wenn SAP einen kritischen Patch veröffentlicht, bösartige Aktivitäten beginnen. Dazu gehören die Veröffentlichung detaillierter Anweisungen zum Ausnutzen der Schwachstelle und das systematische Scannen von SAP-Systemen nach dieser Schwachstelle.
2. Die Herausforderungen, die durch Bedrohungsakteure entstehen, erfordern die Zusammenarbeit aller Beteiligten im SAP-Umfeld: SAP, externe Forschungsunternehmen und SAP-Kunden.

Wie immer aktualisieren die Onapsis Research Labs bereits die Onapsis-Plattform, um die neu veröffentlichten Schwachstellen im Produkt zu berücksichtigen, damit Unternehmen sich optimal schützen können.