Eine kritische Sicherheitslücke in der ERP-Software SAP S/4Hana wird derzeit aktiv ausgenutzt, warnen mehrere Security-Firmen. Der Hersteller hat einen Patch bereitgestellt, den offenbar aber noch nicht alle SAP-Nutzenden eingespielt haben. Dies sollten sie dringend nachholen, heisst es.

In der National Vulnerability Database der US-amerikanischen Technologiebehörde NIST ist die Sicherheitslücke als CVE-2025-42957 erfasst. Der CVSS-Score von 9,9 von maximal 10 weist auf eine hohe Kritikalität hin. "Diese Schwachstelle ermöglicht die Injektion von beliebigem ABAP-Code (Advanced Business Application Programming) in das System unter Umgehung wesentlicher Autorisierungsprüfungen", heisst es in einer Beschreibung der Sicherheitslücke.

Die Behörde warnt, dass ein erfolgreicher Angriff auf die Lücke zu einer vollständigen Kompromittierung des SAP-Systems führen könnte. Es würde dem Angreifer möglich, Benutzerkonten mit SAP_ALL-Rechten anzulegen, Passwort-Hashes herunterzuladen und die SAP-Datenbank zu verändern, so NIST weiter.

Die Sicherheitsforschenden vom Securitybridge Threat Research Labs wollen beobachtet haben, dass die Schwachstelle aktiv ausgenutzt wird. Es sei noch keine weit verbreitete Ausnutzung festgestellt worden, schränken sie ein. Allerdings könnte ein potenzieller Angreifer mit dem entsprechenden Wissen durch Reverse Engineering des Patches einen Exploit generieren. Dies sei "relativ einfach", warnt Securitybridge. Neben dem umgehenden Update empfehlen die Experten, die Systemprotokolle auf verdächtige neue Admin-Benutzer oder RFC-Aufrufe zu überwachen sowie für Backups und eine angemessene Segmentierung zu sorgen.

Der Security-Anbieter Pathlock will ebenfalls Aktivitäten entdeckt haben, die für Ausnutzungsversuche von CVE-2025-42957 sprechen. Er bekräftigt die Warnung des NIST: Jedes Unternehmen, das die Sicherheitsupdates von SAP aus dem August 2025 noch nicht eingespielt hat, ist gefährdet.