Hintertür in AS JAVA wird ausgenutzt | SAP Security Patchday Mai 2025
Autor: Tobias Harmes | 13. Mai 2025
Der SAP Security Patchday im Mai war am 13.05.2025. Wie jeden zweiten Dienstag im Monat gibt es am SAP Patchday frische SAP Security Notes. Diesmal kommen 16 neue Security-Hinweise und zwei Updates. Es gibt noch weitere Auswirkungen von der hochkritischen Schwachstelle für AS JAVA, die SAP nach dem letzten Patchday im April nachgereicht hat. Hier sollten alle Kunden mit Java-Installationen handeln.
Diesmal zwei Hinweise der Einstufung „Hot News“ für Sicherheitslücken mit einem Risiko-Score CVSS >9.0. Auf der Support-Seite von SAP kann man die aktuellen Security Patch Day Details finden.
Hier ist ein anderer einfacher Weg zu den aktuellen Security Notes vom Patchday:
- https://me.sap.com/app/securitynotes aufrufen (S-User erforderlich)
- Optional: den CVSS-Score auf 8-10 einstellen, je nach Schutzbedarf
- Spalte „Freigegeben am“ finden und dort alle Einträge seit dem letzten Patchday studieren – die Filterung auf den aktuellen Monat lässt leider Updates aus, die zwischen den Patchdays veröffentlicht worden sind.
Update und zusätzlicher Hinweis: Java-Komponente Visual Composer erlaubt wahlfreie, schädliche Uploads
Nachträglich hat SAP dem Security Patchday aus dem April noch einen weitere Hinweis zugeordnet, der einen CVSS-Score von 10/10 hat. Dabei geht es um eine Entwicklerkomponente auf AS Java, dem Visual Composer Framework (Software Component VCFRAMEWORK). Das hat fehlende Berechtigungsprüfung und erlaubt über eine bestimmte URL einen Upload von Dateien, die dann wiederum zum Beispiel für Remote-Shells missbraucht werden können. Das ist natürlich besonders brisant, wenn das System zum Internet exponiert ist.
In der Aktualisierung des Hinweises zum Mai-Patchday wurde jetzt auf einen zweiten Hinweis verwiesen, der zum vollständigen Schutz ebenfalls installiert werden muss: 3604119 – [CVE-2025-42999] Insecure Deserialization in SAP NetWeaver (Visual Composer development server) Dieser Hinweis hat eine eigenen CVSS-Score von 9.1/10.
Wichtig: Die Komponente ist nicht unbedingt auf jedem AS Java vorhanden, aber manchmal sind Systemlandschaften historisch bedingt auch mit „unerwarteten“ Softwarekomponenten ausgestattet. Durch Solution Manager, PI/PO und den Adobe Document Service gibt es auch noch eine hohe Verbreitung von AS Java, selbst wenn kein Enterprise Portal mehr im Einsatz ist.
Hier sind alle Informationen zu finden inkl. Links auf FAQ und Workarounds: 3594142 – [CVE-2025-31324] Missing Authorization check in SAP NetWeaver (Visual Composer development server). Ich verlinke hier zusätzlich die Änderungsverfolgung: Neueste Änderungen für SAP-Hinweis 3594142 – SAP for Me
Die Schwachstelle wurde ursprünglich von Sicherheitsforschern der Caiberp GmbH aufgedeckt. Verschiedenste SAP-Security-Softwareanbieter haben im Internet angreifbare System gefunden und stellen Angriffe auf die verwundbaren URLs fest.
Mehrere Schwachstellen in SAP Supplier Relationship Management
Im Live Auction Cockpit von SAP SRM stecken noch veraltete Java-Applet-Komponenten, die bei einem Angriff zur Extraktion von vertraulichen Daten verwendet werden können. Die Schwachstelle wurde mit einem Score 8.6/10 bewertet.
Es gibt kein direktes Update. Bei bestehenden Installationen kann die nicht mehr benötigte Komponente mit dem Deploy Controller deinstalliert werden. Neuinstallationen enthalten das Applet nicht mehr. Details im Hinweis 3578900 – [CVE-2025-30018] Multiple vulnerabilities in SAP Supplier Relationship Management (Live Auction Cockpit)
Als normaler Anwender eigenen Code einschmuggeln in SAP S/4HANA
Angemeldete Benutzer können in S/4HANA OnPremise / Private Cloud mit einfachen Berechtigungen einen Funktionsbaustein aufrufen, mit dem man Programme und Reports ersetzen kann. Das gefährdet Integrität und Verfügbarkeit aller Anwendungen auf dem System. Der CVSS-Score wurde mit 8.3/10 bewertet.
Zur Lösung wird der betroffene Code durch einspielen des Hinweises stillgelegt, da dieser produktiv im Standard nicht verwendet wird. Details im Hinweis 3600859 – [CVE-2025-43010] Code injection vulnerability in SAP S/4HANA Cloud Private Edition or On Premise(SCM Master Data Layer (MDL))
Unterlagen und Links
Das war es schon. Wie immer schaue ich hier nur auf das, was die Schwelle von CVSS-Score 8.0 überschreitet. Bitte schaut selbst nach, ob für eure Systemumgebung und eurem Schutzbedarf nicht vielleicht doch etwas dabei ist.
- Alle Hinweise aus diesem Patchday: SAP Security Patch Day – May 2025
- AK Security & Vulnerability Management AK
- Online-Session: “Diskussion zu ausgewählten SAP Security Notes” ab dem 22.05.2025
- Security Notes Webinar Folien auf sap.com (werden zeitverzögert bereitgestellt unter Advisories)
- Hintertür in S/4HANA [Update: und AS JAVA] | SAP Security Patchday April 2025
Demnächst…
Expertenforum in Mannheim: SAP Security für IT-Sicherheitsbeauftragte am 14.05.2025
In einer zunehmend vernetzten Welt wird der Dialog zwischen Cybersicherheit und SAP Security immer wichtiger. Erfahren Sie in den Vorträgen & Masterclasses, wie gesetzliche Anforderungen die SAP-Sicherheit beeinflussen und welche konkreten Maßnahmen erforderlich sind, um Ihr System abzusichern. Lernen Sie die Unterschiede zwischen Security Monitoring und Angriffserkennung kennen und entdecken Sie praktische Tools, die Ihnen helfen, Ihre SAP-Landschaft zu überwachen und zu schützen.
Mehr erfahren und anmelden
Fiori vs. GUI Berechtigungen | LIVE WEBINAR am 17.06.2025
In diesem Webinar erfahren Sie, was Sie bei der Gestaltung Ihrer Rollen und Berechtigungen für Fiori beachten müssen und was sich bei der Umstellung auf S/4HANA aus Berechtigungssicht alles ändert.
Mehr erfahren und anmelden
