Geschäftsdaten gefährdet: Kritische SAP-Lücke wird aktiv ausgenutzt
Der Softwarekonzern SAP hatte im August in seiner ERP-Lösung S/4Hana eine kritische Sicherheitslücke geschlossen. Sicherheitsforscher von Securitybridge, die die Lücke schon im Juni entdeckt und an SAP gemeldet hatten, warnen nun in einem Blogbeitrag(öffnet im neuen Fenster) vor einer aktiven Ausnutzung. Administratoren sollten ihre S/4Hana-Instanzen dringend patchen, da andernfalls eine vollständige Kompromittierung anfälliger Systeme droht.
Bei der besagten Lücke handelt es sich um die als CVE-2025-42957(öffnet im neuen Fenster) registrierte Code-Injection-Schwachstelle ( CWE-94(öffnet im neuen Fenster) ). Mit einem CVSS-Wert von 9,9 ist sie als kritisch eingestuft. Angriffe sind demnach aus der Ferne möglich und erfordern vorab nur einen Zugriff mit einfachen Benutzerrechten. Die Angriffskomplexität ist gering.
Laut Schwachstellenbeschreibung kann ein Angreifer unter Ausnutzung der Lücke wichtige Autorisierungsprüfungen umgehen und eigenen ABAP-Code einschleusen. "Diese Schwachstelle fungiert praktisch als Backdoor und birgt das Risiko einer vollständigen Kompromittierung des Systems, wodurch dessen Vertraulichkeit, Integrität und Verfügbarkeit untergraben wird" , heißt es weiter.
Patch seit August verfügbar
Einen Patch für CVE-2025-42957 hatte SAP schon im August bereitgestellt(öffnet im neuen Fenster) . Administratoren, die ihre S/4Hana-Instanzen noch nicht aktualisiert haben, sollten dies angesichts der laufenden Angriffe dringend nachholen. Die Forscher von Securitybridge wollen bereits entsprechende Attacken beobachtet haben und warnen zudem, dass sich ein funktionierender Exploit leicht per Reverse Engineering aus dem verfügbaren Patch ableiten lasse.
Für den Angriff sei auf einem anvisierten SAP-System lediglich ein Zugriff mit Low-Level-Anmeldedaten erforderlich. Diese können sich Angreifer etwa per Phishing oder durch Zusammenarbeit mit einem Insider verschaffen. Durch CVE-2025-42957 soll sich anschließend die vollständige Kontrolle über die jeweilige SAP-Umgebung erlangen lassen – inklusive aller darin befindlichen Daten.
Wie viele SAP-Systeme auf diesem Wege bereits kompromittiert wurden und in welchem Umfang die Angriffe stattfinden, ist noch unklar. Betroffen sind sowohl Private-Cloud- als auch On-Premise-Instanzen von S/4Hana. Admins sollten nach erfolgreichem Update am besten auch nach Hinweisen auf eine bereits erfolgte Kompromittierung suchen. "Achten Sie auf verdächtige RFC-Aufrufe, neue Admin-Benutzer oder unerwartete Änderungen am ABAP-Code" , schreiben die Forscher diesbezüglich.