SAP-Patch-Day im Juli 2025: Rekordzahl an Patches und kritische Deserialisierungsschwachstellen

Von:

8. Juli 2025

Im Rahmen des heutigen „Patch Tuesday“ hat SAP eine Rekordzahl an Sicherheitspatches für sein Anwendungsportfolio veröffentlicht, und zwar das Doppelte der durchschnittlichen Anzahl eines normalen Monats. Unsere Onapsis Research Labs leistet regelmäßig hervorragende Arbeit bei der Aufschlüsselung jedes Patch Tuesday, um SAP-Anwendern zu helfen, den Inhalt der monatlichen Veröffentlichungen zu verstehen und Prioritäten bei der Umsetzung zu setzen.

Die Gefahr der Deserialisierung verstehen

In diesem Beitrag möchte ich jedoch einige Sicherheitshinweise dieses „Patch Tuesday“ hervorheben, die zu einer besonders gefährlichen Kategorie von Sicherheitslücken gehören (CWE-502: Deserialisierung nicht vertrauenswürdiger Daten (4.17)). Es handelt sich um dieselbe Kategorie von Schwachstellen, die kürzlich weltweit in SAP-Systemen im Rahmen einer groß angelegten Angriffskampagne ausgenutzt wurde, die hochentwickelten, mit China in Verbindung stehenden Akteurgruppen zugeschrieben wurde. Bleiben diese im heutigen Patch Tuesday aufgeführten Schwachstellen ungepatcht, könnten sie auf ähnliche Weise von diesen früheren, staatlich geförderten Akteurgruppen und/oder von anderen neuen Akteuren ausgenutzt werden, um anfällige SAP-Anwendungen zu kompromittieren. 

Was versteht man unter der Deserialisierung nicht vertrauenswürdiger Daten?

Bei der Serialisierung wird ein Objekt in ein Format umgewandelt, das sich leichter speichern oder übertragen lässt. Die Deserialisierung ist der umgekehrte Vorgang, bei dem das Objekt aus diesen formatierten Daten wiederhergestellt wird. Wenn eine Anwendung nicht vertrauenswürdige Daten auf unkontrollierte Weise deserialisiert, kann dies zu Sicherheitslücken führen. Und wenn Angreifer bösartigen Code in die serialisierten Daten einschleusen, könnte dies dazu führen, dass die Anwendung unbeabsichtigten Code ausführt oder unbefugte Aktionen durchführt, was dazu führt, dass sie control vollständige control das Ziel erlangt. Genau das haben wir bei der groß angelegten Angriffskampagne zu CVE-2025-31324 und CVE-2025-42999 beobachtet, die von März bis Juni 2025 stattfand. Dabei nutzten nicht authentifizierte Angreifer die genannten Schwachstellen in SAP Visual Composer aus der Ferne aus, um Befehle auszuführen und/oder beliebige Dateien hochzuladen, was zu einer sofortigen vollständigen Kompromittierung des Zielsystems führte.

Die wichtigsten Sicherheitslücken im Patch Tuesday vom Juli

Heute stellt die Schwachstelle CVE-2025-30012 das größte Risiko dar; sie wurde mit CVSS 10,0 bewertet, der höchstmöglichen Punktzahl. Ähnlich wie bei der vorherigen Angriffskampagne handelt es sich um eine Deserialisierungsschwachstelle, die ohne Authentifizierung per HTTP(S) aus der Ferne ausgenutzt werden kann und zu einer sofortigen vollständigen Kompromittierung eines anfälligen Systems führt – in diesem Fall eines, auf dem eine anfällige SAP Supplier Relationship Management (SRM)-Anwendung läuft. SAP SRM ist eine Legacy-Lösung, die zugunsten von SAP Ariba ausläuft, was glücklicherweise die Zahl der potenziell betroffenen Unternehmen weltweit verringert. Dennoch ist sie bei vielen Unternehmen weiterhin im Einsatz, die ihre Lieferantenbeziehungen seit mehreren Jahren mit dieser Anwendung verwalten und ihre Lieferantenbeschaffung automatisieren. 

Neben dieser CVSS 10.0-Sicherheitslücke gibt es vier weitere Schwachstellen, die SAP in diesem Monat behoben hat und bei denen es sich ebenfalls um Deserialisierungslücken handelt – alle mit einem kritischen CVSS-Wert von 9,1. Die Onapsis Research Labs bei der Entdeckung, Bewertung und Behebung all dieser Deserialisierungslücken eng mit dem SAP Product Security Research Team (PSRT) Onapsis Research Labs . Wir möchten SAP für die schnelle Reaktion, die gründliche Analyse und die Sorgfalt bei der Behebung dieser komplexen Probleme danken.

Auswirkungen von Deserialisierungs-Exploits

Ausbeutung von einer dieser Deserialisierungsschwachstellen umgeht herkömmliche SAP-Sicherheitskontrollen wie die Aufgabentrennung und andere GRC-Kontrollen. Im Erfolgsfall erlangt ein Angreifer control vollständige control ein anfälliges System und erhält so Zugriff auf kritische Geschäftsprozesse und Daten, was zu Spionage, Sabotage oder Betrug führen könnte. Bei einer vollständigen Kompromittierung könnten Angreifer diese Schwachstelle auch nutzen, um Ransomware auf kritischen SAP-Systemen zu installieren.

Sofortmaßnahmen & Onapsis Threat Intelligence

Zum Zeitpunkt der Veröffentlichung dieses Blogbeitrags am 8. Juli Onapsis Research Labs den Onapsis Research Labs keine aktiven Angriffe in freier Wildbahn bekannt. Beachten Sie jedoch, wie bereits erwähnt, dass es sich um dieselbe Art von Schwachstelle handelt, die kürzlich weltweit in großem Umfang mit CVE-2025-31324 und CVE-2025-42999 ausgenutzt wurde, und dass die Ausnutzung all dieser neuen Deserialisierungsschwachstellen auf ähnliche Weise wie bei den früheren Angriffen ausgelöst werden kann. Die von den Angreifern bei diesen Angriffen verwendete Payload ist derjenigen sehr ähnlich, die gegen diese neu gepatchten Schwachstellen wirksam wäre. Wir werden unser Global Threat Intelligence weiterhin auf Anzeichen einer aktiven Ausnutzung überwachen.

Beheben Sie diese kritischen Sicherheitslücken vorrangig

Unternehmen werden dringend gebeten, die Behebung dieser kritischen Sicherheitslücken anhand der folgenden Sicherheitshinweise unverzüglich zu priorisieren:

Fazit: Ständige Wachsamkeit im Bereich der SAP-Cybersicherheit

Abschließend lässt sich sagen, dass die letzten Monate deutlich gemacht haben, wie wichtig es für große Unternehmen ist, über effektive Prozesse und Technologien für das SAP-Schwachstellenmanagement zu verfügen, um ihre Teams durch Automatisierung dabei zu unterstützen, auf kritische SAP-Cybersicherheitsprobleme äußerst zeitnah und möglichst effektiv zu reagieren. Eine umgehende Installation von Patches, die Überwachung von Bedrohungen und ständige Wachsamkeit in Bezug auf Ihre kritischen SAP-Systeme sind unerlässlich, um Angreifern immer einen Schritt voraus zu sein und Ihr SAP-Cybersicherheitsrisiko zu minimieren.

Stichworte , , ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen