Denial-of-Service-Angriffe (DOS) in SAP NetWeaver und auf platform ABAP platform
10. September 2025
Denial-of-Service (DOS) in SAP NetWeaver und auf platform ABAP platform!
Auswirkungen auf das Geschäft
Ein Angreifer kann aus der Ferne alle Arbeitsprozesse eines auf SAP NetWeaver AS ABAP läuft. Dies hat sehr gravierende negative Auswirkungen auf die Verfügbarkeit des Systems und seiner Geschäftsanwendungen.
Details zur Sicherheitslücke
Ein bestimmter remotefähiger Funktionsbaustein aus der Funktionsgruppe /SDF/EWA ermöglicht es nicht-administrativen, authentifizierten Benutzern, einen Parameter mit großen Werten festzulegen , was eine Endlosschleife auslöst. Ein böswilliger Benutzer könnte den Funktionsbaustein mehrfach von außen parallel aufrufen, um mehrere oder alle Workprozesse zu blockieren und das System so unzugänglich machen. Der anfällige Funktionsbaustein wird mit der Softwarekomponente SAP_BASIS aus und ist in der Anwendungskomponente SAP Solution Tools Plug-In (ST-PI) (SV-SMG-SDD).
Lösung
SAP hat den SAP-Hinweis 3453170 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält.Die Patches können unter https://me.sap.com/notes/3453170 Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitskorrekturen herunterzuladen und auf die betroffenen Komponenten anzuwenden, um die Geschäftsrisiken zu minimieren.
Zeitachse des Berichts
- 29.03.2024: Onapsis meldet SAP eine Sicherheitslücke
- 11.06.2024: SAP veröffentlicht den Patch
Literaturverzeichnis
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-patch-day-june-2024/
- CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-33001
- Hersteller-Patch: https://me.sap.com/notes/3453170
Hinweise
- Veröffentlichungsdatum: 10.09.2025
- Sicherheitshinweis-ID: ONAPSIS-2024-0057
- Forscher: Cristian Scraba
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Betroffene Komponenten:
- SAP NetWeaver und Platform ABAP Platform
- Komponente „SAP Solution Tools Plug-In“ (ST-PI) (Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3453170)
- Sicherheitslücke: CWE-400: Unkontrollierter Ressourcenverbrauch
- CVSS v3-Bewertung: 6,5 (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
- Risikostufe: Mittel
- Zugewiesene CVE-Nummer: CVE-2024-33001
- Informationen zum Hersteller-Patch: SAP Security NOTE 3453170
Betroffene Komponenten – Beschreibung
- ST-PI 2008_1_700 SP 01-36
- ST-PI 2008_1_710 SP 01-36
- ST-PI 740 SP 01-26
Über unsere Forschungslabore
Onapsis Research Labs bietet Branchenanalysen zu wichtigen Sicherheitsfragen, die sich auf geschäftskritische Systeme und Anwendungen auswirken.
Onapsis Research Labs veröffentlichen regelmäßig zeitnahe Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und langjährige Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke sowie fundierte Sicherheitsbeurteilungen zu liefern.
Alle gemeldeten Sicherheitslücken finden Sie unter:
https://github.com/Onapsis/vulnerability_advisories
Dieser Hinweis unterliegt einerCreative-Commons-Lizenz 4.0 BY-ND International.