SAP-Patch-Tag im Juli 2025: Rekordzahl an Patches und kritische Deserialisierungslücken

Am Patch Tuesday hat SAP eine Rekordzahl an Sicherheitspatches für sein Anwendungsportfolio veröffentlicht, die doppelt so hoch war wie der durchschnittliche Output in regulären Monaten. Unsere Onapsis Research Labs leisten regelmäßig hervorragende Arbeit bei der Aufschlüsselung jedes Patch Tuesday, um SAP-Anwendern zu helfen, den Inhalt der monatlichen Releases zu verstehen und Prioritäten für die Umsetzung zu setzen.

Die Gefahr der Deserialisierung verstehen

In diesem Beitrag möchte ich mich jedoch auf einige Sicherheitshinweise aus diesem Patch Tuesday konzentrieren, die zu einer sehr gefährlichen Klasse von Schwachstellen gehören (CWE-502: Deserialisierung nicht vertrauenswürdiger Daten (4.17)). Es handelt sich um dieselbe Klasse von Schwachstellen, die kürzlich in SAP weltweit im Rahmen einer breit angelegten Angriffskampagne ausgenutzt wurden, die ausgeklügelten, mit China in Verbindung stehenden Bedrohungsgruppen zugeschrieben wurde. Wenn sie nicht gepatcht werden, könnten diese im heutigen Patch Tuesday aufgeführten Schwachstellen auf ähnliche Weise von diesen früheren staatlich geförderten Bedrohungsgruppen und/oder anderen neuen Bedrohungsakteuren ausgenutzt werden, um anfällige SAP-Anwendungen zu kompromittieren.

Was ist die Deserialisierung nicht vertrauenswürdiger Daten?

Bei der Serialisierung wird ein Objekt in ein Format konvertiert, das leichter gespeichert oder übertragen werden kann. Die Deserialisierung ist der umgekehrte Vorgang, bei dem das Objekt aus den formatierten Daten wiederhergestellt wird. Wenn eine Anwendung nicht vertrauenswürdige Daten auf unkontrollierte Weise deserialisiert, kann dies zu Sicherheitslücken führen. Und wenn Angreifer bösartigen Code in die serialisierten Daten einschleusen, könnte dies dazu führen, dass die Anwendung unbeabsichtigten Code oder unbefugte Aktionen ausführt, wodurch sie die vollständige Kontrolle über das Ziel erlangen. Genau das haben wir bei der groß angelegten Angriffskampagne für CVE-2025-31324 und CVE-2025-42999 beobachtet, die von März bis Juni 2025 stattfand. Dabei nutzten nicht authentifizierte Angreifer die oben genannten Schwachstellen in SAP Visual Composer aus, um Befehle auszuführen und/oder beliebige Dateien hochzuladen, was zu einer sofortigen vollständigen Kompromittierung des Zielsystems führte.

Wichtigste Schwachstellen im Patch Tuesday im Juli

Derzeit besteht das größte Risiko für die Schwachstelle CVE-2025-30012, die mit CVSS 10.0, der höchstmöglichen Bewertung, eingestuft wurde. Ähnlich wie bei der vorherigen Angriffskampagne handelt es sich um eine Deserialisierungslücke, die ohne Authentifizierung über HTTP(S) aus der Ferne ausgenutzt werden kann und zur sofortigen vollständigen Kompromittierung eines anfälligen Systems führt – in diesem Fall eines Systems, auf dem eine anfällige SAP Supplier Relationship Management (SRM)-Anwendung ausgeführt wird. SAP SRM ist eine ältere Lösung, die zugunsten von SAP Ariba ausläuft, sodass die Anzahl der potenziell betroffenen Unternehmen weltweit glücklicherweise gering ist. Sie wird jedoch weiterhin von vielen Unternehmen genutzt, die seit mehreren Jahren ihre Lieferantenbeziehungen verwalten und ihre Lieferantenbeschaffung mit dieser Anwendung automatisieren.

Neben dieser CVSS 10.0-Sicherheitslücke gibt es vier weitere Sicherheitslücken, die SAP in diesem Monat behoben hat und bei denen es sich ebenfalls um Deserialisierungslücken handelt – alle mit einem kritischen CVSS-Wert von 9,1. Die Onapsis Research Labs haben bei der Entdeckung, Bewertung und Behebung all dieser Deserialisierungs-Schwachstellen eng mit dem SAP Product Security Research Team (PSRT) zusammengearbeitet. Wir möchten SAP für seine schnelle Reaktion, gründliche Analyse und Sorgfalt bei der Behebung dieser komplexen Probleme danken.

Auswirkungen der Ausnutzung der Deserialisierung

Die Ausnutzung einer beliebigen dieser Deserialisierungsschwachstellen umgeht herkömmliche SAP-Sicherheitskontrollen wie die Aufgabentrennung und andere GRC-Kontrollen. Bei Erfolg erhält ein Angreifer die vollständige Kontrolle über ein anfälliges System und damit Zugriff auf kritische Geschäftsprozesse und Daten, was zu Spionage, Sabotage oder Betrug führen kann. Bei vollständiger Kompromittierung könnten Angreifer diese Schwachstelle auch nutzen, um Ransomware auf kritischen SAP-Systemen zu installieren.

Sofortmaßnahmen und Onapsis Threat Intelligence

Zum Zeitpunkt der Veröffentlichung dieses Blogbeitrags am 8. Juli sind den Onapsis Research Labs keine aktiven Exploits in freier Wildbahn bekannt. Beachten Sie jedoch, wie bereits erwähnt, dass es sich um dieselbe Klasse von Schwachstellen handelt, die kürzlich mit CVE-2025-31324 und CVE-2025-42999 weltweit massiv ausgenutzt wurde, und dass die Ausnutzung all dieser neuen Deserialisierungs-Schwachstellen auf ähnliche Weise wie die vorherigen Exploits ausgelöst werden kann. Die von den Angreifern bei diesen Angriffen verwendete Nutzlast ähnelt stark derjenigen, die gegen diese neu gepatchten Schwachstellen wirksam wäre. Wir werden unser Global Threat Intelligence Network weiterhin auf Anzeichen einer aktiven Ausnutzung überwachen.

Priorisieren Sie das Patchen dieser kritischen Schwachstellen

Unternehmen werden dringend gebeten, das Patchen dieser kritischen Schwachstellen mit den folgenden Sicherheitshinweisen unverzüglich zu priorisieren:

• SAP-Sicherheitshinweis 3578900 (CVE-2025-30012) (CVSS 10)
• SAP-Sicherheitshinweis 3620498 (CVE-2025-42980) (CVSS 9.1)
• SAP-Sicherheitshinweis 3610892 (CVE-2025-42966) (CVSS 9.1)
• SAP-Sicherheitshinweis 3621771 (CVE-2025-42963) (CVSS 9.1)
• SAP-Sicherheitshinweis 3621236 (CVE-2025-42964) (CVSS 9.1)

Fazit: Kontinuierliche Wachsamkeit für die SAP-Cybersicherheit

Abschließend lässt sich sagen, dass die letzten Monate deutlich gezeigt haben, wie wichtig es für große Unternehmen ist, über effektive SAP-Schwachstellenmanagementprozesse und -technologien zu verfügen, um ihre Teams bei der Automatisierung zu unterstützen, damit sie auf kritische SAP-Cybersicherheitsprobleme äußerst zeitnah und effektiv reagieren können. Promptes Patchen, Bedrohungsüberwachung und kontinuierliche Wachsamkeit gegenüber Ihren kritischen SAP-Systemen sind unerlässlich, um Bedrohungsakteuren einen Schritt voraus zu sein und Ihre SAP-Cybersicherheitsrisiken zu reduzieren.

Source: Onapsis-Blog

SAP Patch Day: Juli 2025

---