SAP-Patch-Tag: Januar 2025
Zwei HotNews-Hinweise zu SAP NetWeaver AS für ABAP und zur ABAP Platform veröffentlicht
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Januar gehören:
- Zusammenfassung für Januar – Vierzehn neue SAP-Sicherheitspatches veröffentlicht, darunter zwei „HotNews“-Hinweise und drei Hinweise mit hoher Priorität
- SAP HotNews-Hinweise — Kritische Sicherheitslücken in SAP NetWeaver AS für ABAP und Platform zu einer vollständigen Kompromittierung des Systems führen
- Onapsis Research Labs — Unser Team hat SAP dabei unterstützt, die beiden HotNews -Sicherheitslücken und eine Sicherheitslücke mittlerer Priorität zu beheben
SAP hat an seinem ersten Patch Day im Jahr 2025 vierzehn neue SAP-Sicherheitshinweise veröffentlicht, darunter zwei „HotNews“-Hinweise und drei Hinweise mit hoher Priorität. Drei der vierzehn Sicherheitshinweise wurden in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht.
Die HotNews -Notizen im Detail
Die Onapsis Research Labs (ORL) unterstützten SAP bei der Behebung zweier kritischer Sicherheitslücken in SAP NetWeaver AS für ABAP und Platform. Beide sind mit einem CVSS-Score von 9,9 bewertet und betreffen HTTP-Kommunikationsszenarien.
Der SAP-Sicherheitshinweis Nr. 3537476 behebt eine Sicherheitslücke aufgrund einer fehlerhaften Authentifizierung, die es einem Angreifer ermöglicht, Anmeldedaten aus einer internen RFC-Kommunikation zwischen Server A (HTTP-Client) und Server B (der die Anfrage bedient) desselben Systems zu stehlen. Diese Anmeldedaten können in einem nachfolgenden Schritt verwendet werden, um eine neue HTTP-Kommunikation zwischen einem externen Programm C und Server A zu initiieren, wobei das Programm C vorgibt, ein interner Aufrufer von Server A zu sein. Dies hat erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.
Die zweite HotNews-Sicherheitslücke wurde in einem Testbericht entdeckt, der versehentlich an Kunden versandt wurde. Unter bestimmten Bedingungen ermöglichen SAP NetWeaver AS für ABAP und Platform Internet Communication Framework) einem Angreifer, entschlüsselte Anmeldedaten im Klartext auszulesen, die für die Kommunikation mit anderen Systemen erforderlich sind. Dies stellt nicht nur ein hohes Risiko für das lokale System dar, sondern kann auch schwerwiegende Auswirkungen auf andere Systeme haben. Der in der SAP-Sicherheitsmitteilung Nr . 3550708 enthaltene Patch deaktiviert den anfälligen Bericht.
Die Notizen mit hoher Priorität im Detail
Der SAP-Sicherheitshinweis Nr. 3550816, der mit einem CVSS-Wert von 8,8 bewertet wurde, deaktiviert einige remote-fähige Funktionsbausteine, die von einem Angreifer genutzt werden könnten, um beim Zugriff auf Informix-Datenbanken SQL-Code einzuschleusen. Dadurch kann der Angreifer control die Daten in der betroffenen Datenbank erlangen, was zu einer vollständigen Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit führt.
Der SAP-Sicherheitshinweis Nr . 3474398 behebt zwei Sicherheitslücken in Platform SAP BusinessObjects Business Intelligence Platform:
Eine Sicherheitslücke, die zur Offenlegung von Informationen führt und mit einem CVSS-Wert von 8,7 bewertet wurde, ermöglicht es einem nicht authentifizierten Angreifer, ohne jegliche Benutzerinteraktion über das Netzwerk eine Sitzungsübernahme durchzuführen. Angreifer können auf Daten des betroffenen Benutzers in der Anwendung zugreifen und diese verändern, was erhebliche Auswirkungen auf die Vertraulichkeit und Integrität des Systems hat.
Eine Code-Injection-Sicherheitslücke mit einem CVSS-Score von 6,5 ermöglicht es einem authentifizierten Benutzer mit eingeschränktem Zugriff, bösartigen JS-Code einzuschleusen. Der Code kann dazu verwendet werden, sensible Informationen vom Server auszulesen und an den Angreifer zu senden. In einem nachfolgenden Schritt könnte der Angreifer diese Informationen nutzen, um sich als Benutzer mit weitreichenden Berechtigungen auszugeben, was erhebliche Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung hätte.
Der SAP-Sicherheitshinweis Nr . 3542533, der mit einem CVSS-Score von 7,8 bewertet wurde, beschreibt eine DLL-Hijacking-Schwachstelle in SAPSetup. Die Schwachstelle ermöglicht es einem Angreifer, der entweder über lokale Benutzerrechte verfügt oder Zugriff auf das Windows-Konto eines kompromittierten Unternehmensbenutzers hat, sich höhere Berechtigungen zu verschaffen. Dies kann erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Windows-Servers haben, da die höheren Berechtigungen genutzt werden könnten, um sich lateral im Netzwerk zu bewegen und das Active Directory des Unternehmens zu kompromittieren.
Beitrag von Onapsis
Zusätzlich zu den beiden HotNews-Sicherheitslücken hat unser ORL-Team dazu beigetragen, einige remote-fähige Funktionsbausteine zu patchen, die keine entsprechenden Berechtigungen prüfen. Dies ermöglicht es einem authentifizierten Angreifer, an Informationen zu gelangen, die andernfalls eingeschränkt zugänglich wären, was zu einer geringen Beeinträchtigung der Vertraulichkeit der Anwendung führt. Der SAP-Sicherheitshinweis Nr. 3550674, der mit einem CVSS-Score von 4,3 versehen ist, behebt die Schwachstelle in den Funktionsbausteinen durch deren Deaktivierung.
Zusammenfassung und Schlussfolgerungen
Das Jahr 2025 beginnt für SAP-Kunden mit der Bekanntgabe einiger kritischer Sicherheitslücken, die eine sofortige Behebung erfordern. Da diese SAP NetWeaver AS für ABAP und Platform betreffen, sind die meisten SAP-Systeme einem hohen Risiko ausgesetzt, wenn sie nicht gepatcht werden.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3537476 | Neu | [CVE-2025-0070] Unsachgemäße Authentifizierung in SAP NetWeaver ABAP Server und ABAP Platform BC-MID-ICF | Aktuelles | 9.9 |
| 3550708 | Neu | [CVE-2025-0066] Sicherheitslücke durch Offenlegung von Informationen in SAP NetWeaver AS für ABAP und ABAP Platform(Internet Communication Framework) BC-MID-ICF | Aktuelles | 9.9 |
| 3550816 | Neu | [CVE-2025-0063] SQL-Injection-Sicherheitslücke in SAP NetWeaver AS für ABAP und Platform- BC-DB-INF | Hoch | 8.8 |
| 3474398 | Neu | [CVE-2025-0061] Mehrere Sicherheitslücken in Platform SAP BusinessObjects Business Intelligence Platform BI-BIP-INV | Hoch | 8.7 |
| 3542533 | Neu | [CVE-2025-0069] Sicherheitslücke durch DLL-Hijacking in SAPSetup BC-FES-INS | Hoch | 7.8 |
| 3542698 | Neu | [CVE-2025-0058] Sicherheitslücke durch Offenlegung von Informationen in SAP Business Workflow und SAP Flexible Workflow BC-BMT-WFM | Mittel | 6.5 |
| 3540108 | Neu | [CVE-2025-0067] Fehlende Autorisierungsprüfung im SAP NetWeaver Application Server Java- BC-WD-JAV | Mittel | 6.3 |
| 3502459 | Neu | [CVE-2025-0056] Sicherheitslücke durch Offenlegung von Informationen in SAP GUI for Java BC-FES-JAV | Mittel | 6.0 |
| 3472837 | Neu | [CVE-2025-0055] Sicherheitslücke durch Offenlegung von Informationen in SAP GUI für Windows BC-FES-GUI | Mittel | 6.0 |
| 3503138 | Neu | [CVE-2025-0059] Sicherheitslücke durch Offenlegung von Informationen im SAP NetWeaver Application Server ABAP (Anwendungen auf Basis von SAP GUI for HTML) BC-FES-WGU | Mittel | 6.0 |
| 3536461 | Neu | [CVE-2025-0053] Sicherheitslücke durch Offenlegung von Informationen im SAP NetWeaver Application Server für ABAP und in Platform BC-MID-ICF | Mittel | 5.3 |
| 3514421 | Neu | [CVE-2025-0057] Cross-Site-Scripting-Sicherheitslücke in SAP NetWeaver AS JAVA (Benutzerverwaltungsanwendung) BC-JAS-SEC-UME | Mittel | 4.8 |
| 3550674 | Neu | [CVE-2025-0068] Fehlende Berechtigungsprüfung beim Remote Function Call (RFC) im SAP NetWeaver Application Server ABAP- , BC-BMT-WFM | Mittel | 4.3 |
| 3492169 | Neu | Mehrere Pufferüberlauf-Sicherheitslücken in Platform SAP BusinessObjects Business Intelligence Platform Crystal Reports for Enterprise) BI-RA-CRE | Niedrig | 2.2 |
Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie weitere Informationen zu den aktuellen SAP-Sicherheitsproblemen und unseren kontinuierlichen Bemühungen um den Wissensaustausch mit der Sicherheits-Community erhalten möchten, abonnieren Sie unseren „Defenders Digest Onapsis“-Newsletter.