Kritische SAP S/4HANA-Sicherheitslücke unter aktiver Ausnutzung – CVE-2025-42957
Autor: Tobias Harmes | 8. September 2025
Es wurde eine kritische Schwachstelle (CVE-2025-42957) in SAP S/4HANA entdeckt (CVSS-Wertung 9,9), die aktuell aktiv ausgenutzt wird. Angreifer mit nur geringen Benutzerrechten können über eine via RFC zugängliche Funktion willkürlichen ABAP-Code einschleusen, Autorisierungen umgehen und das System vollständig kompromittieren – inklusive Datenmanipulation, Superuser-Erstellung und Passworthash-Diebstahl.
Eine neu entdeckte Schwachstelle in SAP S/4HANA sorgt derzeit für große Unruhe in der IT-Sicherheitswelt. Die Sicherheitslücke mit der Kennung CVE‑2025‑42957 hat einen CVSS-Schweregrad von 9,9 und wird bereits aktiv von Angreifern ausgenutzt. Betroffen sind sämtliche S/4HANA-Installationen, sowohl in On-Premise-Umgebungen als auch in der Private Cloud. Für Unternehmen, die SAP als Kernsystem nutzen, besteht dadurch ein erhebliches Risiko.
Hier unseren Artikel zum SAP Security Patchday August nachlesen.
Wie die Schwachstelle funktioniert
Die Lücke befindet sich in einem Funktionsmodul, das über Remote Function Calls (RFC) erreichbar ist. Angreifer benötigen lediglich ein Benutzerkonto mit minimalen Rechten, um Zugriff zu erhalten. Über diese Schnittstelle können sie eigenen ABAP‑Code einschleusen und ausführen. Dadurch lassen sich zentrale Sicherheitsprüfungen umgehen. Im schlimmsten Fall entsteht so eine Art Hintertür, die es erlaubt, das gesamte System unter Kontrolle zu bringen.
Die Folgen können gravierend sein: Manipulation geschäftskritischer Daten, Anlegen von Superuser-Konten, Diebstahl von Passworthashes oder sogar die Vorbereitung komplexer Angriffe wie Industriespionage oder Ransomware-Attacken. Besonders kritisch ist, dass die Ausnutzung auch mit eingeschränkten Nutzerkonten möglich ist – ein Szenario, das in vielen Unternehmen durch Phishing oder Insider-Bedrohungen realistisch wird.
Aktive Angriffe bereits bestätigt
Forschende des Security-Spezialisten und unseres Partnerunternehmens SecurityBridge haben bestätigt, dass die Schwachstelle bereits in der Praxis ausgenutzt wird. Angreifer setzen also nicht mehr nur auf theoretische Angriffsmodelle, sondern greifen aktiv produktive Systeme an. Dies unterstreicht die Dringlichkeit, sofortige Gegenmaßnahmen einzuleiten.
Reaktion von SAP und Handlungsempfehlungen
SAP hat am 11. August 2025 im Rahmen des Patchdays den Fund veröffentlicht. Unternehmen, die S/4HANA einsetzen, sollten diesen Fix unverzüglich einspielen. Ergänzend wird empfohlen, den Einsatz von SAP UCON zu prüfen, um die RFC-Schnittstellen einzuschränken. Darüber hinaus sollte das Autorisierungsobjekt S_DMIS mit der Aktivität 02 besonders überwacht werden.
Zusätzlich sind weitere Maßnahmen sinnvoll: Eine verstärkte Protokollierung und Überwachung auffälliger Aktivitäten, insbesondere im Zusammenhang mit RFC-Aufrufen und Benutzeränderungen, kann helfen, Angriffe frühzeitig zu erkennen. Auch eine konsequente Netzwerksegmentierung, die SAP-Systeme isoliert, trägt erheblich zur Schadensbegrenzung bei. Schließlich sollten regelmäßige Backups und erprobte Wiederherstellungspläne sicherstellen, dass im Ernstfall schnell reagiert werden kann.
Unsere Experten von RZ10 unterstützen Sie bei der Sicherheit Ihres S/4HANA-Systems und können auch das Patchmanagement als Service übernehmen. Melden Sie sich dazu gerne per Mail info@rz10.de oder stellen Sie eine unverbindliche Anfrage: Termin finden.
Fazit
Die Schwachstelle CVE‑2025‑42957 ist ein Paradebeispiel dafür, wie kritisch Sicherheitslücken in ERP-Systemen sein können. Ein sofortiges Einspielen des Patches, kombiniert mit einer Überprüfung der eigenen Sicherheitsarchitektur, ist unerlässlich. Nur so lässt sich das Risiko minimieren, Opfer eines Angriffs zu werden, der die vollständige Kontrolle über die eigene ERP-Umgebung ermöglicht.
