Willkommen zu den aktuellsten SAP Security News. Jeden Monat informiert SAP am Patchday über die neuesten Sicherheitslücken und deren Bewertungen anhand des CVSS (Common Vulnerability Scoring System). Diese Bewertungen reichen von 1 bis 10, wobei 10 die kritischste Stufe darstellt.

Wir möchten Sie hier auf einige aktualisierte Hinweise aufmerksam machen, die einen CVSS-Wert von über 7 aufweisen. Sicherheitslücken können erhebliche Auswirkungen auf Ihr SAP-System haben, da sie Angreifern die Möglichkeit geben, das System zu kompromittieren. Die spezifischen Auswirkungen sind in den jeweiligen SAP-Hinweisen detailliert beschrieben:
(CVSS 9,9) BC-MID-ICF
Mit SAP NetWeaver Application Server für ABAP und der ABAP-Plattform kann ein authentifizierter Angreifer unberechtigten Zugriff auf das System erlangen, indem er falsche Authentifizierungsprüfungen ausnutzt, was zu einer Berechtigungseskalation führt. Bei erfolgreicher Ausnutzung kann dies zu potenziellen Sicherheitsbedenken führen. Dies hat große Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit. Ein Angreifer kann Credentials aus einer internen RFC-Kommunikation zwischen Server A (HTTP-Client) und Server B (der die Anfrage bedient) desselben Systems stehlen. Die gestohlenen Anmeldeinformationen ermöglichen es einem Angreifer, eine eigene HTTP-Kommunikation zwischen dem neuen, externen Programm C und dem Server A herzustellen, die vorgeben, interner Aufrufer gegen Server
(CVSS 9,9) BC-MID-ICF
Unter bestimmten Bedingungen ermöglicht SAP NetWeaver AS für ABAP und die ABAP-Plattform (Internet Communication Framework) einem Angreifer aufgrund schwacher Zugriffskontrollen den Zugriff auf eingeschränkte Informationen. Dies kann erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit einer Anwendung haben.
(CVSS 8,8) BC-DB-INF
SAP NetWeaver AS ABAP und die ABAP-Plattform führen keine Berechtigungsprüfung durch, wenn ein Benutzer einige RFC-Funktionsbausteine ausführt. Dies kann zu einem Angreifer mit grundlegenden Benutzerberechtigungen führen, um die Kontrolle über die Daten in der Informix-Datenbank zu erhalten, was zu einer vollständigen Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit führt.
(CVSS 8,7) BI-BIP-INV
Dieser Sicherheitshinweis behandelt zwei Schwachstellen in der SAP-BusinessObjects-Business-Intelligence-Plattform. Erstens - Offenlegung von Informationen [CVE-2025-0061] : Die SAP-BusinessObjects-Business-Intelligence-Plattform ermöglicht es einem nicht authentifizierten Angreifer, aufgrund einer Schwachstelle bei der Offenlegung von Informationen das Session-Hijacking über das Netzwerk ohne Benutzerinteraktion durchzuführen. Der Angreifer kann auf Daten des Benutzers in der Anwendung zugreifen und diese ändern. Zweitens - Code-Injection [CVE-2025-0060]: Mit der SAP-BusinessObjects-Business-Intelligence-Plattform kann ein authentifizierter Benutzer mit eingeschränktem Zugriff schädlichen JS-Code einschleusen, der sensible Informationen vom Server lesen und an den Angreifer senden kann. Der Angreifer könnte sich mit diesen Informationen außerdem als Benutzer mit hohen Berechtigungen ausgeben, was große Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung hat.
(CVSS 7,8) BC-FES-INS
Aufgrund einer DLL-Injection-Schwachstelle in SAPSetup kann ein Angreifer mit lokalen Benutzerberechtigungen oder mit Zugriff auf das Windows-Konto eines kompromittierten Unternehmensbenutzers höhere Berechtigungen erhalten. Damit könnte er sich seitlich innerhalb des Netzwerks bewegen und das aktive Verzeichnis eines Unternehmens weiter gefährden. Dies hat große Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Windows-Servers.
Handlungsempfehlungen
Es wird dringend empfohlen, die genannten Hinweise zu prüfen und gegebenenfalls Maßnahmen zu ergreifen. Die Relevanz der Hinweise für Ihre spezifische Umgebung sollte im Einzelfall geprüft werden.
Unterstützung und Kontakt
Eine automatisierte und zielgerichtete Bewertung der Relevanz der Hinweise ist mithilfe des „System Recommendations Service“ möglich.
Benötigen Sie mehr Informationen, Hilfe bei der Analyse Ihrer Systemlandschaft oder bei der Umsetzung der Patch-Einspielung? Unser SAP-Experte Carsten Linz steht Ihnen gerne zur Verfügung. Vereinbaren Sie jetzt direkt online einen Termin oder kontaktieren Sie uns unkompliziert per Mail oder telefonisch.
Um auch wirklich kein Update mehr zu verpassen, folgen Sie uns doch auf LinkedIn und melden Sie sich zu unserem monatlichen Patchday-Newsletter an.
Comentarios