Kritische SAP-Lücke (CVE-2025-42957) aktiv ausgenutzt – wie sollten Sie reagieren?

Was war

SecurityBridge Threat Research Labs entdeckte und meldete am 27. Juni 2025 eine äußerst gefährliche Code­injection-Schwachstelle in SAP S/4HANA (CVE-2025-42957). Die Schwachstelle erhielt einen CVSS-Score von 9,9 (kritisch).

Betroffen sind sowohl On-Premise als auch Private Cloud Installationen von S/4HANA (S4CORE-Versionen 102–108). Verfügt ein Angreifer über niedrig privilegierte Nutzerkonten, kann er beliebigen ABAP-Code per RFC einschleusen. Damit umgeht er alle Autorisierungskontrollen und legt eine tarnfähige Hintertür – mit potenzieller vollständiger Kompromittierung des Systems. Das umfasst:

  • Manipulation oder Diebstahl von Geschäftsdaten
  • Erstellung von Superuser-Konten (SAP_ALL)
  • Auslesen von Passwort-Hashes
  • Eingriffe in Geschäftsprozesse oder Installation von Ransomware

Was ist

SAP brachte bereits am 11./12. August 2025 einen Patch heraus (Security Note 3627998), doch zahlreiche Systeme bleiben weiterhin gefährdet. Die Ausnutzung der Schwachstelle wurde bereits von SecurityBridge verifiziert – sie ist also kein theoretisches Problem mehr, sondern Realität. Die offene Codebasis von ABAP erleichtert zudem das Reverse Engineering der Patches und schafft so zusätzliche Angriffsmöglichkeiten.

Forschende Sicherheitspartner wie Pathlock und das niederländische NCSC beobachteten bereits Anzeichen für Ausnutzungsversuche. Neben der Einspielung von Patches werden Monitoring-MaßnahmenZugriffsbeschränkungen per UCON und RFC-Beschränkungen empfohlen.

Kommentar von J. Benjamin Espagné

Absolute Dringlichkeit – SAP-Sicherheit darf nicht warten

Diese Lücke zeigt, wie verheerend Schwachstellen in Kernsystemen sein können – insbesondere in Plattformen, die Finanz-, Logistik- und HR-Daten zentral verarbeiten. Ein erfolgreicher Angriff kann die gesamte Unternehmensautomation unterwandern.

Was Sie jetzt tun sollten:

1. Sofortiges Patchen

Alle S/4HANA-Installationen (inkl. Private Cloud) müssen umgehend mit Security Note 3627998 gepatcht werden. Keine Ausreden.

2. Angriffsflächen reduzieren

  • Führen Sie SAP UCON (Unified Connectivity) ein, um nur genehmigte RFC-Funktionen zu erlauben.

  • Beschränken Sie den Zugriff auf sensible RFCs (z. B. S_DMIS) auf das absolute Minimum.

3. Monitoring & Detektion verstärken

  • Richten Sie Protokollanalysen auf ungewöhnliche RFC-Aufrufe, neue Admin-Nutzer oder ABAP-Code-Deployments aus.

  • Konfigurieren Sie SIEM- oder MDR-Systeme so, dass frühe Indikatoren erfasst werden.

4. Wazuh-Monitoring nutzen

Mit Wazuh unterstützen wir Sie dabei, diese Risiken transparent zu machen:

  • Erkennen Sie Netzwerkzugriffe auf verdächtige RFC-Muster.

  • Überwachen Sie Dateiänderungen im SAP-Transportverzeichnis.

  • Priorisieren Sie Alarme (z. B. neue Reports, Admin-User, ungewöhnliche Objekte).

  • Nutzen Sie Dashboards für einen Überblick über kritische Bereiche (z. B. Anzahl ungepatchter Hosts).

5. Resilienz schaffen

  • Segmentieren Sie SAP-Umgebungen.

  • Stellen Sie regelmäßige, überprüfbare Backups sicher.

  • Bereiten Sie Incident-Reaktionsprozesse und Eskalationspfade vor.

Fazit: Diese Schwachstelle wirkt wie eine Eintrittskarte für Angreifer in den Kern Ihrer IT. Schnelles, integriertes Handeln – von Patch über Monitoring bis Incident Response – ist Pflicht, keine Option.

Unser Angebot: Wir konfigurieren mit Ihnen gemeinsam Patch-Überwachung, UCON-Integration und Wazuh-Benachrichtigungen, inklusive Dashboards für kritische KPIs – so verschaffen Sie Ihrem SOC echte Sichtbarkeit.

Quelle:

NVD – CVE-2025-42957: Detail (abgerufen am 08.09.2025) SecurityBridge – Critical SAP S/4HANA code injection vulnerability (CVE-2025-42957) exploited in the wild (abgerufen am 08.09.2025) SAP – Security Patch Day August 2025 (Note 3627998 u. a.) (abgerufen am 08.09.2025) Computing – Critical SAP S/4HANA vulnerability actively exploited (abgerufen am 08.09.2025) HelpNetSecurity – Attackers are exploiting critical SAP S/4HANA vulnerability (CVE-2025-42957) (abgerufen am 08.09.2025) DarkReading – Critical SAP S/4HANA Vulnerability Under Attack, Patch Now (abgerufen am 08.09.2025)
[„SAP S/4HANA“ ist eine eingetragene Marke von SAP SE]

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse