Neue Sicherheitslücken in SAP-Systemen: Unternehmen in Gefahr

LONDON (IT BOLTWISE) – Eine neue Bedrohung für SAP-Systeme sorgt für Aufsehen in der IT-Sicherheitsbranche. Zwei kritische Sicherheitslücken in SAP NetWeaver, die bereits im Frühjahr 2025 gepatcht wurden, werden nun von Cyberkriminellen ausgenutzt. Diese Schwachstellen ermöglichen es Angreifern, ohne Authentifizierung auf Systeme zuzugreifen und Schadcode auszuführen.

Die jüngste Entdeckung eines Exploits, der zwei kritische Sicherheitslücken in SAP NetWeaver kombiniert, hat die IT-Sicherheitswelt alarmiert. Diese Schwachstellen, bekannt als CVE-2025-31324 und CVE-2025-42999, ermöglichen es Angreifern, die Authentifizierung zu umgehen und Remote-Code-Ausführung zu erreichen. Obwohl SAP diese Lücken bereits im April und Mai 2025 geschlossen hat, wurden sie bereits zuvor von Bedrohungsakteuren als Zero-Days ausgenutzt.

Besonders besorgniserregend ist, dass diese Schwachstellen von mehreren Ransomware- und Daten-Erpressungsgruppen, darunter Qilin, BianLian und RansomExx, sowie von chinesischen Spionagegruppen genutzt werden. Diese Angriffe zielen auf kritische Infrastrukturnetzwerke ab und gefährden die Integrität sensibler Unternehmensdaten.

Der Exploit wurde erstmals von vx-underground gemeldet und von der Allianz Scattered Lapsus$ Hunters veröffentlicht, die aus den Gruppen Scattered Spider und ShinyHunters besteht. Laut dem SAP-Sicherheitsunternehmen Onapsis können Angreifer durch diese Schwachstellen beliebige Befehle auf dem Zielsystem ausführen, was zu einer vollständigen Übernahme des betroffenen Systems führen kann.

Die Angriffskette nutzt zunächst CVE-2025-31324, um die Authentifizierung zu umgehen und die schädliche Nutzlast auf den Server hochzuladen. Anschließend wird die Deserialisierungsschwachstelle CVE-2025-42999 ausgenutzt, um die Nutzlast mit erhöhten Berechtigungen auszuführen. Diese Methode ermöglicht es Angreifern, ohne zusätzliche Artefakte auf dem kompromittierten System zu hinterlassen, Betriebssystembefehle auszuführen.

Onapsis warnt, dass die Veröffentlichung dieses Deserialisierungsgadgets besonders besorgniserregend ist, da es in anderen Kontexten wiederverwendet werden kann, wie zum Beispiel bei der Ausnutzung kürzlich von SAP gepatchter Deserialisierungsschwachstellen. Unternehmen wird dringend geraten, die neuesten Sicherheitsupdates zu installieren und den Zugriff auf SAP-Anwendungen zu überwachen.

Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»

Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie

30,99 EUR

Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»

Vikye KI -Roboter Angetrieben von Deepseek, Smart Talking Desk Companion mit 1,28 "Bildschirm, Sprachsteuerung, WLAN -Wetteruhr und Bluetooth Music Player

30,50 EUR

Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»

ZOOI Geschenke für Männer, Geburtstagsgeschenk für Männer, Gadgets für Männer, Geschenke für Papa Geschenk Männergeschenk Adventskalender Füllung Männer, Bluetooth Lautsprecher mit Handyständer

20,99 EUR

Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»

QCOQ® Air Tags 4er Pack Schwarz, Schlüsselfinder & Air Tracker Tagg Kompatibel mit Apple Wo ist? App (Nur iOS), Smart Key Finder mit Schlüsselband, Koffer-Tracker für Taschen/Keys, Austauschbarer Akku

29,99 EUR

Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

169,00 EUR

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!