SAP-Sicherheitshinweise und CVEs 2025: Analyse und Bedrohungen

Das Jahr 2025 erweist sich als entscheidendes Jahr für die SAP-Sicherheit. Selbst zur Jahresmitte war die Lage besonders turbulent und geprägt von einer erheblichen Anzahl kritischer Sicherheitslücken und SAP-Sicherheitshinweisen. Allein im ersten Halbjahr 2025 hat SAP bereits 27 SAP-Sicherheitshinweise mit hoher Priorität (mit einem durchschnittlichen CVSSv3-Wert von 8,2) und 14 HotNews (mit einem durchschnittlichen CVSSv3-Wert von 9,8) veröffentlicht. Dieser Bericht fasst die kritischsten Updates zusammen und beleuchtet die sich entwickelnden Bedrohungen, die SAP-Umgebungen betreffen.

Sicherheitslücken durch unsichere Deserialisierung: Eine große versteckte Gefahr

Ein Großteil der jüngsten kritischen Sicherheitslücken, die SAP-Anwendungen betreffen, fällt in eine gefährliche Kategorie, die als „unsichere Deserialisierung“ bezeichnet wird. Dies geschieht, wenn eine Anwendung nicht vertrauenswürdige Daten ohne ordnungsgemäße Validierung in ein Objekt umwandelt. Eine solche Schwachstelle ermöglicht es Angreifern, bösartige Befehle einzuschleusen, was unter Umständen zur Ausführung von Remote-Code(RCE) auf Ihren Systemen, zu schwerwiegenden Datenlecks oder zu Denial-of-Service-Angriffen führen kann.

Bei erfolgreicher Ausnutzung können Angreifer control vollständige control Ihre Systeme erlangen, was insbesondere bei kritischen SAP-Systemen Risiken wie Spionage, Sabotage, Betrug oder sogar den Einsatz von Ransomware mit sich bringt. Die in diesem Bericht behandelten CVEs, darunter CVE-2025-30012, CVE-2025-31324 und CVE-2025-42999, sind Paradebeispiele für Schwachstellen, die unsichere Deserialisierung ausnutzen; weitere Details finden Sie weiter unten.

Die wichtigsten Sicherheitslücken und Kampagnen im Jahr 2025

Abgesehen von den routinemäßigen „Patch Tuesday“-Veröffentlichungen war das erste Halbjahr 2025 von mehreren vielbeachteten Sicherheitsvorfällen und der aktiven Ausnutzung spezifischer Schwachstellen geprägt, die SAP-Umgebungen betrafen. Diese Kampagnen bieten wichtige Einblicke in die sich weiterentwickelnden Methoden von Angreifern,die es auf SAP abgesehen haben, und verdeutlichen deren zunehmende Raffinesse und Hartnäckigkeit. Onapsis ist bei der Analyse dieser Bedrohungen führend und nutzt dabei Onapsis Research Labs(ORL) und Threat Intelligence globale SAP Threat Intelligence , um zeitnahe Erkenntnisse zu liefern, Leitlinien zur Behebung zu entwickeln undTools bereitzustellen, die Sicherheitsverantwortlichen dabei helfen, diese erheblichen Risiken zu mindern.

Aktive Ausnutzung von CVE-2017-12637

Im März 2025 warnte die CISAvor der aktiven Ausnutzung einer Sicherheitslücke, die ursprünglich bereits 2017 in ihren Katalog „Known Exploited Vulnerabilities“ (KEV) aufgenommen worden war. Diese Sicherheitslücke betrifft insbesondere den SAP NetWeaver AS Java Application Server, eine Komponente, die häufig für den Einsatz im Internet vorgesehen ist. Eine umfassende Aufschlüsselung dieser CVE sowie Strategien zur Abwehr einer möglichen Ausnutzung finden Sie in unserer detaillierten Analyse zu CVE-2017-12637.

CVE-2025-31324: Zero-Day-Exploit

Diese kritische Sicherheitslücke ( CVE-2025-31324) wurde ursprünglich am 22. April 2025 von ReliaQuest gemeldet. Sie zielt auf SAP Visual Composer ab und ermöglicht es nicht authentifizierten Angreifern, beliebige Dateien hochzuladen, was zu einer sofortigen vollständigen Kompromittierung des betroffenen Systems führt. Obwohl SAP Visual Composer nicht standardmäßig installiert ist, stellt seine weitverbreitete Nutzung als Kernkomponente für Geschäftsprozessspezialisten, die Anwendungen ohne Programmierung entwickeln, ein erhebliches Risiko dar. In Anerkennung der Schwere dieser Schwachstelle hat die CISA diese CVE am 29. April 2025 inihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen.

Auswirkungen von CVE-2025-31324 auf Unternehmen

Achieving <sid>adm access grants the attacker unauthorized access to the underlying SAP Operating System, utilizing the user and privileges of the processes running in the SAP Application Server. This provides full access to any SAP resource, including the SAP system database, without restrictions. Such control permits the attacker to execute several malicious actions, including, but not limited to, shutting down the SAP application or deploying ransomware.

Darüber hinaus kann ein kompromittiertes System als Einfallstor ins Netzwerk dienen, wodurch der Angreifer von diesem ersten Zugangspunkt aus auf andere interne Systeme zugreifen kann. Angesichts der Vernetzung von SAP-Systemen innerhalb eines Unternehmens ist diese Möglichkeit besonders gefährlich.

Die Gefahr einer sofortigen vollständigen Kompromittierung ist eine ernste Angelegenheit, die von Ihrem Team vorrangig behandelt werden muss. Ein solcher Vorfall könnte zu böswilligen und unbefugten Geschäftsaktivitäten führen, die kritische SAP-Systeme beeinträchtigen. Dazu gehören unter anderem die Manipulation von Finanzdaten, der Einsatz von Ransomware, der Zugriff auf personenbezogene Daten (PII), die Beschädigung von Geschäftsdaten sowie das Löschen oder Ändern von Protokollen, Trace-Daten und andere Handlungen, die den wesentlichen Geschäftsbetrieb gefährden.

CVE-2025-42999: Behebung der Grundursache

Am 13. Mai 2025 veröffentlichte SAP umgehend den Sicherheitshinweis 3604119. Diese schnelle Reaktion folgte auf die verantwortungsvolle Offenlegung neuer Informationen zu rekonstruierten Angriffen durch Onapsis Research Labs ORL) Anfang Mai. Der Sicherheitshinweis 3604119 befasst sich direkt mit CVE-2025-42999, einer Schwachstelle mit einem CVSS-Wert von 9,1. Entscheidend ist, dass dieser Patch die zugrunde liegende Ursache von CVE-2025-31324 effektiv behebt – eine Erkenntnis, die von Onapsis Research Labs bestätigt wurde.

Um die entscheidende Bedeutung dieser Schwachstelle weiter zu unterstreichen, hat die CISA CVE-2025-42999 am 15. Mai 2025 in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen.

Eine ausführliche Analyse sowie alle Einzelheiten zu den empfohlenen Abhilfemaßnahmen für CVE-2025-42999 und CVE-2025-31324 finden Sie inunserem umfassenden Sicherheitsbericht.

CVE-2025-30018: Eine neue kritische Sicherheitslücke bei der Deserialisierung

Am Patch Day im Juli wurde die Sicherheitslücke CVE-2025-30018 (SAP-Sicherheitshinweis Nr. 3578900) besonders hervorgehoben. Diese Sicherheitslücke zeigt den Sicherheitsverantwortlichen, dass sie auf genau dieselbe Weise ausgenutzt werden könnte wie die zuvor genannten CVEs, was deutlich macht, warum eine umgehende Installation der Patches unerlässlich ist.

Diese kritische Sicherheitslücke betrifft eine Komponente der SAP-Lösung „Supplier Relationship Management“ (SRM). SAP SRM wird von Beschaffungsteams eingesetzt, um Lieferantenbeziehungen zu verwalten und Beschaffungs- und Einkaufsprozesse zu automatisieren. Die Lösung verwaltet Lieferantenstammdaten, den Vertragslebenszyklus und Beschaffungskataloge; zu den wichtigsten Prozessen zählen die Beschaffung, die Bestellabwicklung und die Bewertung der Lieferantenleistung.

Zwar handelt es sich bei SAP SRM um eine veraltete Lösung (Kunden werden dazu angehalten,auf SAP Ariba oder Fieldglass umzusteigen), was glücklicherweise die Zahl der potenziell betroffenen Unternehmen verringert, doch wird sie nach wie vor von vielen Unternehmen genutzt, die ihre Lieferantenbeziehungen bereits seit mehreren Jahren mit dieser Anwendung verwalten und ihre Lieferantenbeschaffung damit automatisieren.

Häufig gestellte Fragen (FAQs)

Welche Bedeutung haben Deserialisierungsschwachstellen in SAP? 

Deserialisierungsschwachstellen (wie CWE-502) sind eine gefährliche Art von Sicherheitslücken, die es Angreifern ermöglichen können, unbeabsichtigten Code auszuführen oder unbefugte Aktionen durchzuführen, indem sie bösartigen Code in serialisierte Daten einschleusen. Dies kann zu einer vollständigen Kompromittierung des Systems führen, wie kürzlich bei weltweiten Angriffskampagnen gegen SAP gezeigt wurde.

Warum wird CVE-2025-30012 als kritische Sicherheitslücke eingestuft? 

CVE-2025-30012 wurde mit einem CVSS-Wert von 10,0 bewertet, der höchstmöglichen Punktzahl, was auf eine extreme Schwere hinweist. Es handelt sich um eine Deserialisierungsschwachstelle, die ohne Authentifizierung aus der Ferne über HTTP(S) ausgenutzt werden kann und zu einer sofortigen vollständigen Kompromittierung anfälliger SAP Supplier Relationship Management (SRM)-Anwendungen führt.

In welchem Zusammenhang stehen CVE-2025-31324 und CVE-2025-42999? 

CVE-2025-31324 war die erste Zero-Day-Sicherheitslücke, die in SAP Visual Composer aktiv ausgenutzt wurde. CVE-2025-42999, die durch den SAP-Sicherheitshinweis 3604119 behoben wurde, wurde später als die eigentliche Ursache identifiziert; damit wurde die Deserialisierungsschwachstelle behoben, die die Ausnutzung von CVE-2025-31324 ermöglichte.

Wie schnell nutzen Angreifer in der Regel neu bekannt gewordene Sicherheitslücken aus? 

Untersuchungen von Onapsis haben ergeben, dass zwischen der Bekanntgabe einer Sicherheitslücke und den ersten erkennbaren Scan-Versuchen von Angreifern, die nach anfälligen Systemen suchen, nur 24 Stunden liegen können, und dass es nur 72 Stunden dauert, bis ein funktionsfähiger Exploit verfügbar ist. Dies unterstreicht die dringende Notwendigkeit einer raschen Fehlerbehebung.

Welche geschäftlichen Auswirkungen hat ein erfolgreicher Angriff auf ein SAP-System über diese Sicherheitslücken?

Eine erfolgreiche Ausnutzung dieser Schwachstelle kann herkömmliche SAP-Sicherheitskontrollen umgehen und Angreifern control vollständige control kritische Geschäftsprozesse und Daten verschaffen. Dies könnte zu Spionage, Sabotage, Betrug oder dem Einsatz von Ransomware führen und schwerwiegende finanzielle, betriebliche und rufschädigende Folgen nach sich ziehen.

Gibt es Tools, mit denen sich diese Schwachstellen assess beheben lassen? 

Ja, Onapsis hat in Zusammenarbeit mit Mandiant Open-Source-Tools entwickelt und veröffentlicht, darunter einen Scanner für Indikatoren für Kompromittierung (IoCs) sowie Black-Box-Schwachstellenscanner, um Unternehmen dabei zu helfen, assess für CVE-2025-31324 und CVE-2025-42999 zu identifizieren und assess .