SAP-Sicherheitshinweise und CVEs 2025: Analyse und Bedrohungen

Das Jahr 2025 erweist sich als entscheidendes Jahr für die SAP-Sicherheit. Selbst zur Halbzeit war die Lage besonders turbulent, geprägt von einer erheblichen Anzahl kritischer Sicherheitslücken und SAP-Sicherheitshinweisen. Allein in der ersten Hälfte des Jahres 2025 hat SAP bereits 27 SAP-Sicherheitshinweise mit hoher Priorität (mit einem durchschnittlichen CVSSv3-Wert von 8,2) und 14 HotNews (mit einem durchschnittlichen CVSSv3-Wert von 9,8) veröffentlicht. Dieser Bericht fasst die wichtigsten Updates zusammen und beleuchtet die sich entwickelnden Bedrohungen für SAP-Umgebungen.

Unsichere Deserialisierungslücken: eine große versteckte Gefahr

Eine erhebliche Anzahl der jüngsten kritischen Sicherheitslücken, die SAP-Anwendungen betreffen, fallen in eine gefährliche Kategorie, die als unsichere Deserialisierung bekannt ist. Diese tritt auf, wenn eine Anwendung nicht vertrauenswürdige Daten ohne ordnungsgemäße Validierung in ein Objekt konvertiert. Eine solche Schwachstelle ermöglicht es Angreifern, bösartige Anweisungen einzuschleusen, was möglicherweise zu einer Remote-Code-Ausführung (RCE) auf Ihren Systemen, schwerwiegenden Datenverletzungen oder Denial-of-Service führen kann.

Bei erfolgreicher Ausnutzung können Angreifer die vollständige Kontrolle über Ihre Systeme erlangen, was insbesondere bei kritischen SAP-Systemen Risiken wie Spionage, Sabotage, Betrug oder sogar den Einsatz von Ransomware mit sich bringt. Die in diesem Bericht behandelten CVEs, darunter CVE-2025-30012, CVE-2025-31324 und CVE-2025-42999, sind Paradebeispiele für Schwachstellen, die unsichere Deserialisierung ausnutzen. Weitere Details finden Sie weiter unten.

Wichtigste Schwachstellen und Kampagnen im Jahr 2025

Über die routinemäßigen Patch Tuesday-Veröffentlichungen hinaus war das erste Halbjahr 2025 geprägt von mehreren aufsehenerregenden Sicherheitsvorfällen und der aktiven Ausnutzung spezifischer Schwachstellen, die SAP-Umgebungen betrafen. Diese Kampagnen bieten wichtige Einblicke in die sich weiterentwickelnden Methoden von Bedrohungsakteuren, die es auf SAP abgesehen haben, und zeigen deren zunehmende Ausgereiftheit und Hartnäckigkeit. Onapsis ist führend bei der Analyse dieser Bedrohungen und nutzt Onapsis Research Labs (ORL) und das globale SAP Threat Intelligence Network, um zeitnahe Einblicke zu liefern, Abhilfemaßnahmen zu entwickeln und Tools zur Unterstützung von Sicherheitsbeauftragten bei der Minderung dieser erheblichen Risiken bereitzustellen.

Aktive Ausnutzung von CVE-2017-12637

Im März 2025 warnte CISA vor der aktiven Ausnutzung einer Sicherheitslücke, die ursprünglich 2017 in den Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen worden war. Diese Sicherheitslücke betrifft insbesondere den SAP NetWeaver AS Java Application Server, eine Komponente, die häufig für den Internetzugang konzipiert ist. Eine umfassende Aufschlüsselung dieser CVE und Strategien zur Bekämpfung ihrer potenziellen Ausnutzung finden Sie in unserer eingehenden Analyse von CVE-2017-12637.

CVE-2025-31324: Zero-Day-Exploit

Diese kritische Schwachstelle, CVE-2025-31324, wurde ursprünglich am 22. April 2025 von ReliaQuest gemeldet. Sie zielt auf SAP Visual Composer ab und ermöglicht nicht authentifizierten Angreifern das Hochladen beliebiger Dateien, was zu einer sofortigen vollständigen Kompromittierung des betroffenen Systems führt. Obwohl SAP Visual Composer nicht standardmäßig installiert ist, stellt seine weit verbreitete Verwendung als Kernkomponente für Geschäftsprozessspezialisten, die Anwendungen ohne Programmierung entwickeln, ein erhebliches Risiko dar. In Anbetracht der Schwere dieser Schwachstelle hat die CISA diese CVE am 29. April 2025 in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen.

Auswirkungen von CVE-2025-31324 auf Unternehmen

Durch den Zugriff auf <sid>adm erhält der Angreifer unberechtigten Zugriff auf das zugrunde liegende SAP-Betriebssystem und kann die Benutzer- und Berechtigungen der auf dem SAP-Anwendungsserver ausgeführten Prozesse nutzen. Dadurch erhält er uneingeschränkten Zugriff auf alle SAP-Ressourcen, einschließlich der SAP-Systemdatenbank. Diese Kontrolle ermöglicht es dem Angreifer, verschiedene böswillige Aktionen auszuführen, darunter unter anderem das Herunterfahren der SAP-Anwendung oder das Bereitstellen von Ransomware.

Darüber hinaus kann ein kompromittiertes System als Einstiegspunkt in das Netzwerk dienen, von dem aus der Angreifer weiter vorrücken und auf andere interne Systeme zugreifen kann. Diese Möglichkeit ist angesichts der Vernetzung von SAP-Systemen innerhalb eines Unternehmens besonders gefährlich.

Das Potenzial für eine sofortige vollständige Kompromittierung ist eine ernsthafte Angelegenheit, die von Ihrem Team vorrangig behandelt werden muss. Ein solches Ereignis könnte zu böswilligen und unautorisierten Geschäftsaktivitäten führen, die kritische SAP-Systeme beeinträchtigen. Dazu gehören unter anderem die Änderung von Finanzdaten, die Bereitstellung von Ransomware, das Einsehen von personenbezogenen Daten (PII), die Verfälschung von Geschäftsdaten sowie das Löschen oder Ändern von Protokollen, Traces und andere Aktionen, die wesentliche Geschäftsabläufe gefährden.

CVE-2025-42999: Behebung der Grundursache

Am 13. Mai 2025 veröffentlichte SAP umgehend die Sicherheitshinweis 3604119. Diese schnelle Reaktion folgte auf die verantwortungsvolle Offenlegung neuer Informationen aus rekonstruierten Angriffen durch Onapsis Research Labs (ORL) Anfang Mai. Der Sicherheitshinweis 3604119 befasst sich direkt mit CVE-2025-42999, einer Sicherheitslücke mit einem CVSS-Wert von 9,1. Entscheidend ist, dass dieser Patch die zugrunde liegende Grundursache von CVE-2025-31324 wirksam behebt, was von Onapsis Research Labs bestätigt wurde.

Um die kritische Bedeutung dieser Schwachstelle weiter zu unterstreichen, hat die CISA CVE-2025-42999 am 15. Mai 2025 in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen.

Eine eingehende Analyse und alle Details zu den empfohlenen Abhilfemaßnahmen für CVE-2025-42999 und CVE-2025-31324 finden Sie in unserem umfassenden Bedrohungsbericht.

CVE-2025-30018: Eine neue kritische Deserialisierungsbedrohung

Am Patch Day im Juli wurde CVE-2025-30018 (SAP Security Note #3578900) hervorgehoben. Diese Sicherheitslücke zeigt Sicherheitsbeauftragten, dass sie auf genau dieselbe Weise ausgenutzt werden kann wie die oben genannten CVEs, was erneut unterstreicht, warum umgehende Patches unerlässlich sind.

Diese kritische Schwachstelle ist in einer Komponente der SAP Supplier Relationship Management (SRM)-Lösung vorhanden. SAP SRM wird von Beschaffungsteams zur Verwaltung von Lieferantenbeziehungen und zur Automatisierung von Beschaffungs- und Einkaufsprozessen eingesetzt. Es verwaltet Lieferantenstammdaten, den Vertragslebenszyklus und Beschaffungskataloge, wobei wichtige Prozesse wie Beschaffung, Bestellverwaltung und Lieferantenbewertung eine zentrale Rolle spielen.

Obwohl SAP SRM eine Legacy-Lösung ist (Kunden werden zur Migration zu SAP Ariba oder Fieldglass aufgefordert), wodurch die Anzahl potenziell betroffener Unternehmen glücklicherweise gering ist, wird sie dennoch von vielen Unternehmen weiterhin genutzt, die ihre Lieferantenbeziehungen seit mehreren Jahren mit dieser Anwendung verwalten und ihre Lieferantenbeschaffung automatisieren.

Häufig gestellte Fragen (FAQs)

Welche Bedeutung haben Deserialisierungsschwachstellen in SAP?

Deserialisierungsschwachstellen (wie CWE-502) sind eine gefährliche Art von Schwachstellen, die es Angreifern ermöglichen, unbeabsichtigten Code oder unbefugte Aktionen auszuführen, indem sie bösartigen Code in serialisierte Daten einschleusen. Dies kann zu einer vollständigen Kompromittierung des Systems führen, wie kürzlich bei globalen Angriffskampagnen auf SAP gezeigt wurde.

Warum wird CVE-2025-30012 als kritische Schwachstelle eingestuft?

CVE-2025-30012 wird mit CVSS 10.0 bewertet, der höchstmöglichen Punktzahl, die auf extreme Schwere hinweist. Es handelt sich um eine Deserialisierungslücke, die ohne Authentifizierung über HTTP(S) aus der Ferne ausgenutzt werden kann und zur sofortigen vollständigen Kompromittierung anfälliger SAP Supplier Relationship Management (SRM)-Anwendungen führt.

In welcher Beziehung stehen CVE-2025-31324 und CVE-2025-42999 zueinander?

CVE-2025-31324 war die erste Zero-Day-Sicherheitslücke, die aktiv in SAP Visual Composer ausgenutzt wurde. CVE-2025-42999, behoben durch SAP Security Note 3604119, wurde später als zugrunde liegende Ursache identifiziert und behebt die Deserialisierungslücke, die die Ausnutzung von CVE-2025-31324 ermöglichte.

Wie schnell nutzen Angreifer in der Regel neu bekannt gewordene Schwachstellen aus?

Untersuchungen von Onapsis haben ergeben, dass zwischen der Offenlegung einer Schwachstelle und dem ersten erkennbaren Scan durch Angreifer, die nach anfälligen Systemen suchen, nur 24 Stunden liegen können und dass es nur 72 Stunden dauert, bis ein funktionsfähiger Exploit verfügbar ist. Dies unterstreicht die dringende Notwendigkeit schneller Patches.

Welche Auswirkungen hat eine erfolgreiche Kompromittierung des SAP-Systems über diese Schwachstellen auf das Unternehmen?

Eine erfolgreiche Ausnutzung kann herkömmliche SAP-Sicherheitskontrollen umgehen und Angreifern die vollständige Kontrolle über kritische Geschäftsprozesse und Daten verschaffen. Dies kann zu Spionage, Sabotage, Betrug oder dem Einsatz von Ransomware führen, was schwerwiegende finanzielle, betriebliche und Reputationsschäden zur Folge haben kann.

Gibt es Tools, mit denen diese Schwachstellen bewertet und behoben werden können?

Ja, Onapsis hat in Zusammenarbeit mit Mandiant Open-Source-Tools entwickelt und veröffentlicht, darunter einen Indicators of Compromise (IoCs)-Scanner und Blackbox-Schwachstellenscanner, mit denen Unternehmen die Gefährdung durch CVE-2025-31324 und CVE-2025-42999 identifizieren und bewerten können.

Source: Onapsis-Blog

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky