Was jetzt zu tun ist

Eine als kritisch (CVSS 9,9) eingestufte Code-Injection-Lücke in SAP S/4HANA wird seit Anfang September 2025 aktiv angegriffen. Angreifer können mit niedrigen Rechten über ein per RFC exponiertes Funktionsmodul beliebigen ABAP-Code einschleusen, Autorisierungen umgehen, Administratoren anlegen, Daten manipulieren und bis zum Betriebssystem durchgreifen. SAP hat am 12. August 2025 Patches bereitgestellt – wer noch nicht aktualisiert hat, sollte das umgehend nachholen.

Was passiert ist – Timeline, Exploitation & Einordnung

Am 5. September 2025 meldeten mehrere Sicherheitsquellen, dass die S/4HANA-Schwachstelle CVE-2025-42957 in freier Wildbahn ausgenutzt wird. Die Lücke war am SAP Security Patch Day im August 2025 öffentlich dokumentiert und gepatcht worden. Laut SecurityBridge, die den Fehler ursprünglich an SAP gemeldet haben, ist die Ausnutzung „mit minimalem Aufwand“ möglich und wurde bereits verifiziert; Pathlock beobachtet Telemetrie mit auffälligen Aktivitäten, die zu Ausbeutungsversuchen passen. Die Heise-Berichterstattung bestätigt die Lage für den deutschsprachigen Raum. Für Unternehmen heißt das: Je länger das Patch-Fenster offen bleibt, desto größer das Risiko von Kompromittierungen – auch weil sich aus veröffentlichten Updates oft schnell funktionierende Exploits ableiten lassen.

Die technische Ursache – ABAP-Code-Injection über ein per RFC erreichbares Funktionsmodul

Kern des Problems ist ein per Remote Function Call (RFC) erreichbares Funktionsmodul in S/4HANA, das unzureichend validiert und dadurch die Einspeisung von ABAP-Code ermöglicht. Das führt zu einer Umgehung „wesentlicher Autorisierungsprüfungen“ und wirkt im Ergebnis wie eine Hintertür mit dem Risiko einer vollständigen Systemkompromittierung. Die CVSS-Vektoren (AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H) spiegeln wider, dass es sich um einen über das Netzwerk erreichbaren, mit niedrigen Rechten und ohne Benutzerinteraktion ausnutzbaren Fehler handelt.

Welche Systeme betroffen sind

SAP führt die Schwachstelle als Code Injection vulnerability in SAP S/4HANA (Private Cloud oder On-Premise) und nennt die S4CORE-Versionen 102, 103, 104, 105, 106, 107 und 108 als betroffen. Ergänzend weist der August-Patchday auf ein eng verwandtes, ebenfalls kritisches Problem in SAP Landscape Transformation/DMIS (CVE-2025-42950) hin. BleepingComputer listet darüber hinaus betroffene Komponenten und Versionen in angrenzenden SAP-Produkten (u. a. Business One SLD und NetWeaver ABAP-Artefakte) – eine Orientierung für Heterogen-Landschaften, in denen S/4HANA mit weiteren SAP-Bausteinen integriert ist.

Warum die Bedrohung so gravierend ist

Die Kombination aus niedriger erforderlicher Berechtigungsstufe, Netzwerkreichweite und geringer Komplexität bedeutet, dass bereits kompromittierte Standard-User (z. B. via Phishing) genügen, um die Kontrolle über das SAP-System zu übernehmen. In Labor-Demonstrationen zeigen Forscher, wie über die Lücke neue Superuser mit SAP_ALL-Rechten angelegt, Passwort-Hashes exfiltriert, Geschäftsprozesse manipuliert und schließlich auch OS-Kommandos ausgeführt werden können. Selbst wenn derzeit „breite“ Kampagnen noch ausstehen, ist die Hürde zur Nachnutzung niedrig – vor allem, wenn Patches rückwärts analysiert werden.

Kontext: Eine Serie heikler SAP-Lücken 2025

Die aktive Ausnutzung von CVE-2025-42957 folgt auf mehrere SAP-HotNews-Fälle in diesem Jahr. Bereits im April wurden in NetWeaver Visual Composer (CVE-2025-31324) Angriffe beobachtet; Mitte August berichtete Onapsis außerdem von einem öffentlich aufgetauchten Exploit, der eine Kette aus bekannten Lücken (u. a. CVE-2025-31324 und -42999) adressiert. Im August-Patchday tauchte zudem eine weitere S/4HANA-Code-Injection (CVE-2025-27429, Update) auf. Das Bild ist eindeutig: Angreifer interessieren sich verstärkt für SAP-Kernkomponenten, und zeitnahes Patch-Management ist erfolgskritisch.

Erste-Hilfe-Maßnahmen – was Admins jetzt tun sollten

Sofort patchen: Spielen Sie die Korrekturen aus SAP Note 3627998 (S/4HANA, CVE-2025-42957) ein und prüfen Sie in SLT/DMIS-Umgebungen zusätzlich Note 3633838 (CVE-2025-42950). Prüfen Sie die Vollständigkeit in allen Mandanten und Systemrollen (DEV/QAS/PRD) und dokumentieren Sie die Änderung im Transportwesen.

RFC-Angriffsfläche reduzieren: Aktivieren und konfigurieren Sie SAP UCON (Unified Connectivity), um nur die wirklich benötigten Remote-fähigen Funktionsbausteine zu erlauben und alles Übrige zu sperren. Nutzen Sie die UCON-Logging-Funktionen und, wo möglich, Callback-Allowlists und restriktive Gateway-Policies.

Autorisierungen härten: Minimieren Sie S_RFC-Berechtigungen und prüfen Sie in Transformations-Szenarien die Objekte im DMIS-Kontext (SecurityBridge hebt explizit das Objekt S_DMIS mit Activity 02 hervor). Verhindern Sie generische Rollenbündel mit überbreiten Funktionsaufrufen.

Log-basierte Erkennung aufrüsten: Leiten Sie Security Audit Log, UCON RFC Logging, ICM/Web-Dispatcher-Logs, RFC-Gateway-Logs und HANA-Audit in ein SIEM aus. Jagen Sie nach Indikatoren wie ungewöhnlichen RFC-Aufrufen, neu angelegten Admin-Benutzern, unerwarteten ABAP-Reports/Programmobjekten oder geänderten Destinationen/Trust-Einstellungen.

Forensik & Response vorbereiten: Halten Sie Offline-Backups verifiziert bereit, segmentieren Sie Anwendungs-/Datenbank-/Frontend-Tier, und definieren Sie klare SOPs für User-Lockout, Systemquarantäne und Notfallrollen-Rollback. Drittanbieter-Telemetrie (z. B. Pathlock) und SAP-spezifische Erkennungsregeln können die Mean Time to Detect/Respond senken, ersetzen aber Patching nicht.

Wie die Angriffe in der Praxis aussehen – typische Taktiken

Berichte deuten darauf hin, dass Angreifer bevorzugt bereits vorhandene, niedrig privilegierte Konten nutzen – etwa aus Phishing, Brute-Force gegen schlecht gehärtete Schnittstellen oder aus früheren Vorfällen. Über das Schwachstellen-Modul wird ABAP eingeschleust, das Autorisierungen umgeht und persistente Mechanismen (z. B. versteckte Admin-Konten, geplante Jobs) etabliert. Anschließend folgt oft Datenexfiltration (z. B. Hashes) und Prozess-Manipulation bis hin zu OS-seitigen Aktionen. Dieses Muster deckt sich mit früheren Kampagnen gegen SAP-Landschaften, in denen nach Erstzugriff weitere Akteure bekannte Backdoors weiter ausnutzten.

Risikoabschätzung für das Business

S/4HANA ist in vielen Unternehmen das Rückgrat für Finance, Supply Chain, HR und Fertigung. Ein kompromittiertes System bedeutet nicht nur IT-Ausfall, sondern regulatorische, finanzielle und operative Folgen: Unstimmigkeiten in Rechnungswesen und Reporting, Fraud durch Datenmanipulation, Produktionsstillstände durch gestörte Workflows, Vertrauensverlust bei Kunden und Partnern sowie erhebliche Kosten durch Incident Response und Wiederanlauf. Die aktive Ausnutzung seit Anfang September ist ein klares Signal, dass das Risiko nicht mehr theoretisch ist.

Konkrete Prüfliste für Admin-Teams

1) Prüfen Sie umgehend, ob Note 3627998 (und ggf. 3633838) produktiv eingespielt ist, und gleichen Sie die S4CORE-/DMIS-Versionen mit der Patchday-Übersicht ab. 2) Aktivieren Sie UCON und reduzieren Sie freigeschaltete Remote-Funktionsbausteine auf das Minimum; erfassen Sie Ausreißer im UCON-Log. 3) Härten Sie S_RFC- und DMIS-Autorisierungen; entfernen Sie generische Berechtigungen. 4) Richten Sie zielgerichtete SIEM-Use-Cases für verdächtige RFC-Aufrufe, neu angelegte Admin-User, ABAP-Objektänderungen und Gateway-Anomalien ein. 5) Führen Sie eine Threat Hunt in Systemen durch, die erst nach dem 12. August gepatcht wurden, und prüfen Sie auf Spuren von Persistenz (z. B. unbekannte Jobs, unübliche Reports). 6) Dokumentieren Sie alle Maßnahmen revisionssicher im Transport- und Change-Prozess.

FAQ – Kurz beantwortet

Ist auch RISE with SAP betroffen? SAP und mehrere Fachberichte sprechen explizit von Private-Cloud- und On-Prem-Editionen; die zugrundeliegende S/4HANA-Komponente ist in beiden Szenarien relevant, daher greifen die Patches unabhängig vom Betriebsmodell.

Reicht ein Workaround? Nein. Es gibt keine nachhaltigen Vendor-Workarounds; die Beseitigung des fehlerhaften Codes durch die offiziellen Notes ist zwingend. Härtungsmaßnahmen (UCON, Autorisierungen, Monitoring) mindern das Restrisiko, ersetzen aber das Patchen nicht.

Wie schnell muss ich handeln? Da aktive Angriffe seit dem 4./5. September beobachtet werden und die Ausnutzung mit niedrigen Rechten möglich ist, gilt eine hohe Dringlichkeit. Priorisieren Sie produktive Systeme, schließen Sie das Fenster in QAS/DEV zeitnah, und achten Sie auf rückwärtsgerichtete Forensik.

Ausblick

Die vergangenen Monate zeigen, dass SAP-Plattformen verstärkt in den Fokus geraten – nicht nur wegen ihrer zentralen Geschäftsrelevanz, sondern auch, weil sich aus Patch-Ständen und Dokumentation zügig Exploits generieren lassen. Wer S/4HANA betreibt, muss Patch-Management, RFC-Angriffsflächenkontrolle (UCON), Berechtigungsdesign und SAP-spezifisches Threat-Monitoring als zusammenhängendes Sicherheitsprogramm verstehen. Unternehmen, die jetzt konsequent schließen und anschließend ihre Erkennung und Reaktionsfähigkeit ausbauen, reduzieren das Risiko nachhaltig – alle anderen laufen Gefahr, dass aus einem „HotNews“ ein echter Geschäftsnotfall wird.

AOMEI Backupper Professional mit Lebenslangen…

AOMEI Partition Assistant Professional Lifetime (2…

Angebot

WD_BLACK SN850P 8 TB NVMe SSD Offiziell Lizenziert…

Letzte Aktualisierung am 1.09.2025 / Affiliate Links / Bilder von der Amazon Product Advertising API. Alle hier angezeigten Preise und Verfügbarkeiten gelten zum angegebenen Zeitpunkt der Einbindung und können sich jederzeit ändern. Der Preis und die Verfügbarkeit, die zum Kaufzeitpunkt auf Amazon.de angezeigt werden, sind maßgeblich. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.