SAP Patch Day Deserialization Threat

Wie hoch ist die Bedrohung durch Deserialisierung?

Es handelt sich dabei um dieselbe Klasse von Schwachstellen, die vor kurzem von Hackern in SAP-Lösungen auf globaler Ebene als Teil einer breit angelegten Angriffskampagne ausgenutzt wurde. Wenn diese neuen Deserialisierungsschwachstellen nicht gepatcht werden, können sie – ähnlich wie dort geschehen – von staatlich gesponserten Bedrohungsgruppen und/oder von anderen Bedrohungsakteuren ausgenutzt werden, um SAP-Anwendungen zu gefährden.

Was ist Deserialisierung von nicht vertrauenswürdigen Daten?

Bei der Serialisierung wird ein Objekt in ein Format umgewandelt, das leichter gespeichert oder übertragen werden kann. Die Deserialisierung ist der umgekehrte Prozess: Das Objekt wird aus den formatierten Daten rekonstruiert. Wenn eine Anwendung nicht vertrauenswürdige Daten auf unkontrollierte Weise deserialisiert, kann dies zu Schwachstellen führen. Wenn dann Angreifer bösartigen Code einschleusen, kann dies dazu führen, dass die Anwendung unbeabsichtigten Code oder nicht autorisierte Aktionen ausführt und so die vollständige Kontrolle erlangt. Genau das ist bei der Angriffskampagne um CVE-2025-31324 und CVE-2025-42999 geschehen, die von März bis Juni 2025 stattfand und bei der nicht authentifizierte Angreifer die genannten Schwachstellen in SAP Visual Composer aus der Ferne ausnutzten, um Befehle auszuführen und/oder beliebige Dateien hochzuladen, was zu einer sofortigen vollständigen Kompromittierung des Zielsystems führte.

Hohes Risiko bei Schwachstellen aus dem Juli Patch Day

Das größte Risiko stellt die Schwachstelle CVE-2025-30012 dar, die mit einem CVSS-Score von 10.0, der höchstmöglichen Bewertung, eingestuft wurde. Ähnlich wie bei der erwähnten früheren Angriffskampagne handelt es sich um eine Deserialisierungsschwachstelle, die aus der Ferne über HTTP(S) ohne Authentifizierung ausgenutzt werden kann. Dies kann zu einer sofortigen vollständigen Kompromittierung eines Systems führen – in diesem Fall eines, auf dem eine angreifbare SAP Supplier Relationship Management (SRM)-Anwendung läuft. Bei SAP SRM handelt es sich um eine veraltete Lösung, die zugunsten von SAP Ariba ausläuft. Dadurch ist die Zahl der potenziell betroffenen Unternehmen weltweit vergleichsweise gering. Dennoch nutzen viele Unternehmen die Lösung nach wie vor, da sie ihre Lieferantenbeziehungen und Beschaffung mit dieser Anwendung seit mehreren Jahren automatisiert haben.

In diesem Monat hat SAP zudem vier weitere Schwachstellen behoben, bei denen es sich ebenfalls um Deserialisierungsschwachstellen handelt – alle mit einem kritischen CVSS-Wert von 9.1.

Folgen der Deserialisierung

Die Ausnutzung einer dieser Deserialisierungsschwachstellen umgeht herkömmliche SAP-Sicherheitskontrollen wie Rollenverteilung und andere GRC-Kontrollen. Im Erfolgsfall erlangt ein Angreifer die vollständige Kontrolle über ein verwundbares System und kann so auf wichtige Geschäftsprozesse und Daten zugreifen, was zu Spionage, Sabotage oder Betrug führen kann. Bei einer vollständigen Kompromittierung könnten Angreifer diese Schwachstelle auch nutzen, um Ransomware in kritischen SAP-Systemen zu aktivieren.

Sofortige Maßnahmen & Onapsis Threat Intelligence

Die Onapsis Research Labs arbeiteten eng mit dem SAP Product Security Research Team (PSRT) bei der Identifikation, Bewertung und Behebung all dieser Deserialisierungsschwachstellen zusammen. Derzeit sind den Onapsis Research Labs keine aktiven Angriffe in unbeobachteter Umgebung bekannt. Wie bereits erwähnt, ist jedoch zu bedenken, dass es sich um dieselbe Art von Schwachstelle handelt, die vor kurzem weltweit in großem Umfang mit CVE-2025-31324 und CVE-2025-42999 ausgenutzt wurde. Die Ausnutzung dieser neuen Deserialisierungsschwachstellen kann auf ähnliche Weise ausgelöst werden. Deshalb ist es wichtig, dass Umgebungen weiterhin auf Anzeichen für eine aktive Ausnutzung überwacht werden, wie es Onapsis in seinem Global Threat Intelligence Network macht.

Sofort patchen: Priorisierung der kritischen Schwachstellen

Onapsis empfiehlt Organisationen dringend, das Patchen dieser kritischen Schwachstellen mit den folgenden Sicherheitshinweisen sofort zu priorisieren:

SAP Security Note 3578900 (CVE-2025-30012) (CVSS 10)

SAP Security Note 3620498 (CVE-2025-42980) (CVSS 9.1)

SAP Security Note 3610892 (CVE-2025-42966) (CVSS 9.1)

SAP Security Note 3621771 (CVE-2025-42963) (CVSS 9.1)

SAP Security Note 3621236 (CVE-2025-42964) (CVSS 9.1)

Fazit: Kontinuierlich wachsam sein für die SAP-Cybersicherheit

Die letzten Monate haben deutlich gemacht, wie wichtig es für Unternehmen ist, über effektive SAP-Schwachstellenmanagement-Prozesse und -Technologien zu verfügen. Damit unterstützen sie ihre Teams unter anderem bei der Automatisierung, um auf kritische SAP-Cybersicherheitsprobleme möglichst effektiv und zeitnah reagieren zu können. Sofortiges Patchen, Threat Monitoring und ständige Wachsamkeit in Bezug auf kritische SAP-Systeme sind unerlässlich. Lösungen wie die von Onapsis setzen genau hier an und unterstützen Unternehmen in diesen Punkten, um Bedrohungsakteuren einen Schritt voraus zu sein und um das SAP-Cybersicherheitsrisiko bestmöglich zu reduzieren.

How serious is the threat posed by deserialization?

This is the same class of vulnerabilities that was recently exploited by hackers in SAP solutions on a global scale as part of a broad attack campaign. If these new deserialization vulnerabilities are not patched, they can be exploited by state-sponsored threat groups and/or other threat actors to compromise SAP applications, similar to what happened there.

What is deserialization of untrusted data?

Serialization is the process of converting an object into a format that is easier to store or transmit. Deserialization is the reverse process: the object is reconstructed from the formatted data. If an application deserializes untrusted data in an uncontrolled manner, this can lead to vulnerabilities. If attackers then inject malicious code, this can cause the application to execute unintended code or unauthorized actions, thereby gaining complete control. This is exactly what happened in the attack campaign involving CVE-2025-31324 and CVE -2025-42999, which took place from March to June 2025, where unauthenticated attackers remotely exploited the aforementioned vulnerabilities in SAP Visual Composer to execute commands and/or upload arbitrary files, resulting in immediate complete compromise of the target system.

High risk for vulnerabilities from July Patch Day

The greatest risk is posed by vulnerability CVE-2025-30012, which has been assigned a CVSS score of 10.0, the highest possible rating. Similar to the aforementioned earlier attack campaign, this is a deserialization vulnerability that can be exploited remotely via HTTP(S) without authentication. This can lead to immediate complete compromise of a system – in this case, one running a vulnerable SAP Supplier Relationship Management (SRM) application. SAP SRM is an outdated solution that is being phased out in favor of SAP Ariba. As a result, the number of potentially affected companies worldwide is relatively small. Nevertheless, many companies continue to use the solution because they have automated their supplier relationships and procurement with this application for several years.

This month, SAP also fixed four other vulnerabilities, which are also deserialization vulnerabilities – all with a critical CVSS score of 9.1.

Consequences of deserialization

Exploiting one of these deserialization vulnerabilities bypasses traditional SAP security controls such as role distribution and other GRC controls. If successful, an attacker gains complete control over a vulnerable system and can access critical business processes and data, leading to espionage, sabotage, or fraud. In the event of a complete compromise, attackers could also use this vulnerability to activate ransomware in critical SAP systems.

Immediate measures & Onapsis Threat Intelligence

Onapsis Research Labs worked closely with the SAP Product Security Research Team (PSRT) to identify, assess, and remediate all of these deserialization vulnerabilities. Currently, Onapsis Research Labs is not aware of any active attacks in unobserved environments. However, as mentioned above, it is important to note that this is the same type of vulnerability that was recently exploited on a large scale worldwide with CVE-2025-31324 and CVE-2025-42999. Exploitation of these new deserialization vulnerabilities can be triggered in a similar manner. Therefore, it is important that environments continue to be monitored for signs of active exploitation, as Onapsis does in its Global Threat Intelligence Network.

Patch immediately: Prioritize critical vulnerabilities

Onapsis strongly recommends that organizations immediately prioritize patching these critical vulnerabilities with the following security advisories:

SAP Security Note 3578900 (CVE-2025-30012) (CVSS 10)

SAP Security Note 3620498 (CVE-2025-42980) (CVSS 9.1)

SAP Security Note 3610892 (CVE-2025-42966) (CVSS 9.1)

SAP Security Note 3621771 (CVE-2025-42963) (CVSS 9.1)

SAP Security Note 3621236 (CVE-2025-42964) (CVSS 9.1)

Conclusion: Stay vigilant for SAP cybersecurity

The last few months have made it clear how important it is for companies to have effective SAP vulnerability management processes and technologies in place. These help their teams with automation, among other things, so they can respond to critical SAP cybersecurity issues as effectively and quickly as possible. Immediate patching, threat monitoring, and constant vigilance with regard to critical SAP systems are essential. Solutions such as those offered by Onapsis address precisely these issues and support companies in staying one step ahead of threat actors and reducing SAP cybersecurity risk as much as possible.