SAP Patch Day Mai 2025: Kritische Schwachstellen in SAP Visual Composer erfordern sofortiges Patching

Zum April Patch Day hat SAP zweiundzwanzig neue und aktualisierte SAP Security Notes veröffentlicht – darunter vier als HotNews und fünf als High Priority klassifizierte Hinweise. Sechs der neunzehn neuen Notes wurden in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht.

Die SAP Security Note #3594142, die mit dem höchstmöglichen CVSS-Score von 10.0 versehen ist, wurde am 24. April von SAP in einem Emergency Release veröffentlicht. Der Hinweis behebt eine kritische Schwachstelle in SAP Visual Composer („Missing Authorization Check“), die unter CVE-2025-31324 geführt wird. Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern, potenziell böswillig ausführbare Programmdateien hochzuladen, die das Hostsystem schwer schädigen können. Ein Emergency Release war erforderlich, da SAP und externe Forschungsorganisationen bereits aktive Exploits der Schwachstelle identifiziert hatten.

Am 29. April 2025 nahm die CISA die Sicherheitslücke in ihren „Known Exploited Vulnerabilities Catalog“ auf.

Onapsis entdeckte umfangreiche Aktivitäten von Angreifern, die öffentliche Informationen nutzen, um Exploits auszulösen und Webshells zu missbrauchen, die von den ursprünglichen – inzwischen untergetauchten – Angreifern stammen. Die Onapsis Research Labs (ORL) und andere Sicherheitsfirmen sehen Anzeichen für weitere Angreifer, die bestehende Webshells aus der vorherigen Angriffskampagne nutzen, um neue Angriffe zu starten.

Die Onapsis Research Labs (ORL) haben alle wichtigen Hintergrundinformationen über die Schwachstelle und die damit verbundenen bösartigen Aktivitäten in diesem Blogbeitrag zusammengefasst, inklusive einer Liste von IP-Adressen, bei denen Exploits der Schwachstelle beobachtet wurden. Zusätzlich haben die Onapsis Research Labs (ORL) einen Open-Source-Scanner für CVE-2025-31324 für alle SAP-Kunden veröffentlicht. Detaillierte Informationen finden Sie hier.

Während der Analyse der Angriffe im Zusammenhang mit CVE-2025-31324 konnten die Onapsis Research Labs (ORL) zusätzliche Informationen über das Vorgehen der Angreifer an SAP übermitteln. SAP hat sehr schnell auf diese neuen Informationen reagiert und einen zusätzlichen Patch zur Verfügung gestellt, um den Schutz vor dem aktiven Exploit zu verbessern. Die SAP Security Note #3604119, bewertet mit einem CVSS-Score von 9.1, behebt die entsprechende Schwachstelle in der Deserialisierung. Es wird dringend empfohlen, das entsprechende FAQ-Dokument 3605597 und den beigefügten KBA-Hinweis #3593336 zu lesen. Da beide HotNews-Hinweise, #3594142 und #3604119, nur automatisierte Korrekturen für SAP NetWeaver Java AS 7.50 enthalten, umfasst der KBA-Hinweis wichtige Instruktionen für Kunden mit früheren Versionen.

Die HotNews-Hinweise #3587115 und #3581961, jeweils mit CVSS-Score 9.9, sind Aktualisierungen von Patches, die ursprünglich zum SAP April Patch Day veröffentlicht wurden. Die SAP Security Note #3587115 behebt eine Code-Injection-Schwachstelle in SAP Landscape Transformation. Das Update enthält nun auch Patches für die zusätzlichen Softwarekomponenten-Versionen DMIS 2018 und DMIS 2020. Bei der SAP Security Note #3581961 hat SAP lediglich den Titel aktualisiert, um darauf hinzuweisen, dass auch On-Premise-Installationen von S/4HANA von der Sicherheitslücke betroffen sind.