SecurityBridge entdeckt ABAP-Code-Injection-Schwachstelle in SAP S/4HANA

Für die kritische Schwachstelle CVE-2025-42957 hatte SAP bereits am11. August einen Patch (CVSS 9.9) bereitgestellt, der sofort anzuwenden ist. Der nun von SecurityBridge entdeckte Exploit ermöglicht es Kriminellen mit geringen Berechtigungen, auf das Betriebssystem und alle Daten im SAP-System zuzugreifen. Dazu gehören unter anderem: Löschen und Einfügen von Daten direkt in die SAP-Datenbank, Anlegen von SAP-Usern mit SAP_ALL, Herunterladen von Passwort-Hashes und Änderungen an Geschäftsprozessen. Die Schwachstelle betrifft alle S/4 HANA-Releases (Private Cloud und On-Premises).

Obwohl bisher keine weit verbreitete Ausnutzung gemeldet wurde, hat SecurityBridge den tatsächlichen Missbrauch dieser Schwachstelle bestätigt und, um die potenziellen Auswirkungen dieser Schwachstelle zu demonstrieren, auf Grundlage eigener Recherchen und Tools eine Demo erstellt:

Kriminelle wissen also bereits, wie sie Schwachstelle verwenden können. Darüber hinaus ist das Reverse Engineering des Patches zur Erstellung eines Exploits für SAP ABAP relativ einfach, da der ABAP-Code für alle sichtbar ist.

Empfohlene Schritte zur Risikominderung

•Sofort patchen: Falls noch nicht geschehen, die SAP-Sicherheitsupdates vom August 2025 installieren (Hinweise 3627998 und 3633838)

•Offenlegung prüfen: Kunden sollten die Implementierung von SAP UCON erwägen, um die RFC-Verwendung einzuschränken und den Zugriff auf das Berechtigungsobjekt S_DMIS Aktivität 02 zu überprüfen und einzuschränken.

•Protokolle überwachen: Auf verdächtige RFC-Aufrufe, neue Admin-User oder unerwartete ABAP-Code-Änderungen achten

•Abwehr verstärken und sicherstellen, dass Segmentierung, Backups und SAP-spezifische Überwachung vorhanden sind

Weitere Informationen auf dem SecurityBridge-Blog unter CVE-2025-42957: Critical SAP S/4HANA Code Injection Vulnerability: https://securitybridge.com/blo...