Kritische SAP-Lücke (CVE-2025-42957) aktiv ausgenutzt – wie sollten Sie reagieren?

SecurityBridge Threat Research Labs entdeckte am 27. Juni 2025 eine kritische Code-Injection-Schwachstelle in SAP S/4HANA. CVE-2025-42957 erhielt einen CVSS-Score von 9,9 — nahezu die Höchstwertung. SAP veröffentlichte am 11. August 2025 einen Patch (Security Note 3627998). Die Ausnutzung der Schwachstelle wurde bereits bestätigt.

Technische Details: Code Injection über RFC

Betroffen sind On-Premise und Private Cloud Installationen von S/4HANA (S4CORE-Versionen 102–108). Ein Angreifer mit einem niedrig privilegierten Benutzerkonto kann beliebigen ABAP-Code per RFC (Remote Function Call) einschleusen. Damit umgeht er alle Autorisierungskontrollen und kann eine tarnfähige Hintertür installieren.

Die Konsequenzen einer erfolgreichen Ausnutzung:

• Vollständige Systemkompromittierung: Erstellung von Superuser-Konten (SAP_ALL)
• Datendiebstahl: Zugriff auf Finanz-, HR-, Logistik- und Kundendaten
• Passwort-Hash-Extraktion: Grundlage für weitere Angriffe
• Geschäftsprozess-Manipulation: Änderung von Bestellungen, Rechnungen oder Zahlungsströmen
• Ransomware-Deployment: Über die erlangte Kontrolle

Warum SAP-Systeme besonders kritisch sind

SAP S/4HANA ist das operative Rückgrat vieler Großunternehmen und Mittelständler. Finanzwesen, Einkauf, Produktion, Lagerhaltung und Personalwesen laufen über eine zentrale Plattform. Ein kompromittiertes SAP-System betrifft daher nicht eine Anwendung — es betrifft den gesamten Geschäftsbetrieb.

Erschwerend kommt hinzu:

• ABAP-Code ist offen lesbar: Die Programmiersprache ABAP erlaubt es Angreifern, veröffentlichte Patches zu reverse-engineeren und Exploits zu entwickeln
• SAP-Patching ist komplex: SAP-Updates erfordern ausgiebige Tests, bevor sie in Produktionsumgebungen eingespielt werden. Viele Organisationen patchen SAP daher verzögert — teils um Wochen oder Monate
• Legacy-Konfigurationen: Viele SAP-Installationen haben historisch gewachsene RFC-Konfigurationen, die weit mehr Funktionen exponieren als notwendig

Erste Anzeichen aktiver Ausnutzung

SecurityBridge hat die Ausnutzbarkeit der Schwachstelle verifiziert. Pathlock und das niederländische NCSC beobachteten bereits Anzeichen für Ausnutzungsversuche. Die offene Codebasis von ABAP erleichtert das Reverse Engineering der Patches — was bedeutet, dass Angreifer aus dem Patch selbst ableiten können, wo die Schwachstelle liegt.

Sofortmaßnahmen

1. Patch einspielen

Security Note 3627998 auf alle S/4HANA-Installationen anwenden — On-Premise und Private Cloud. Keine Ausnahmen, keine Verzögerung.

2. Angriffsfläche reduzieren

• SAP UCON (Unified Connectivity) aktivieren, um nur genehmigte RFC-Funktionen zu erlauben. UCON ist die wirksamste Maßnahme, um die exponierte Angriffsfläche über RFC zu minimieren
• Zugriff auf sensible RFCs (z.B. S_DMIS) auf das absolute Minimum beschränken

3. Monitoring verstärken

• Protokollanalysen auf ungewöhnliche RFC-Aufrufe, neue Admin-Nutzer und ABAP-Code-Deployments ausrichten
• SIEM-Regeln für SAP-spezifische Anomalien konfigurieren: neue Reports, SAP_ALL-Zuweisungen, ungewöhnliche Transaktionen
• Dateiänderungen im SAP-Transportverzeichnis über File Integrity Monitoring überwachen

4. Resilienz schaffen

• SAP-Umgebungen segmentieren: Produktiv-, Test- und Entwicklungssysteme strikt trennen
• Regelmäßige, überprüfbare Backups der SAP-Datenbanken sicherstellen
• Incident-Response-Prozesse und Eskalationspfade für SAP-spezifische Vorfälle definieren

Einordnung

CVE-2025-42957 ist nicht die erste kritische SAP-Schwachstelle — und wird nicht die letzte sein. SAP-Systeme sind Hochwertziele: Sie enthalten die sensibelsten Geschäftsdaten eines Unternehmens und bieten bei Kompromittierung maximalen Hebel. Die Kombination aus offener ABAP-Codebasis, komplexen Patch-Zyklen und historisch gewachsenen Berechtigungsstrukturen macht SAP-Umgebungen zu einer permanenten Herausforderung für Security-Teams.