Forscher Haben Herausgefunden, Dass SAP GUI Benutzerzzerdaten MIT Veralteter Verschlüsselung Speichert, Wodurch Datetenlecks Möglich Sind.
Die Forscher Jonathan Stross von Pathlock, und Julian Petersohn von Fortinet Warnen Vor Zwei Neuen Sicherheitslücken dans Einer Funktion von Sap Gui, Die für die Speicherung der Benutzereingaben in Den Window Zuständig ist.
Dadurch Werden Sensible Informationen Wie Benutzernamen, Nationale Id-Nummern und Bankkontonumn Gefährdet. Diese Sind Entweder Unverschlüsselt Oder Mit Einem Schwachen, Wiederverwendbaren Xor-Schlüssel Geschützt, Warden Die Forscher.
„CVE-2025-0055 und CVE-2025-0056 Stellen Beide Ein Erhebliches Risiko für Unternehmen Dar, Das Auf Uniserere Lokale Datenspeicherpraktiken Zurückzuführen ist”, Mahnt Auch Mayuresh Dani, Manager de recherche en matière de sécurité Bei Quality. „Selbst Wenn Passwortfelder Aus dem eingabeverlauf von sap gui Ausgeschlossen Sind, ist der umfang der sensiblen daten, auf die ein angreifer zugreifen kann, sehr groß. »
SAP HAT DANS ABSTIMMMUNG MIT Dem Pathlock-Team Im Januar 2025 Stillschweigend pertinent Sicherheitspatches und Abhilfemaßnahmen Veröffentlicht, die nur für Sap-Gui-Kunden Zugänglich Sind.
Schwache xor-Verschlüsselung Ausnutzbar
Das Huptproblem von CVE-2025-0055 Ist Ein Einfacher Verschlüssengsfehler. SAP GUI Für Windows Speichert Zuvor Eingegebène werte wie benutzer-ids oder sozialversicherungsnumn in einer lokalen sqlite-datenbankdatei unter verwenng einer exkluliven ou (xor) -basioirn Verschlüsselung. Die Verschlüsselung Verwendet Jedoch für Jeden Eintrag Denselben Statischen Schlüssel, Sodass Einziger Bekannter Wert auSreicht, um den Rest Zu Entschlüsseln.
„Die Eingaben Werden dans Einer Sqlite3-Datenbankdatei (Saphistory
CVE-2025-0056 Basiert auf Einen Noch laxeren Ansatz dans SAP Gui Für Java, Wo Verlaufsdaten Völlig Unverschlüsselt Gespeichert Werden. Das Bedeutet, Dass Serialisierte Java-Objekte, Die Benutzereingaben Enthalten, Für Jeden Frei Zugänglich Sind, Der Zugriff auf den Rechner Hat.
Laut Jason Soroko, camarade principal Bei Sectigo, ist das Problem Bei Java-Clients Noch Viel Größer. „Der Gleiche Verlauf Wird als Einfache, Serialisierte Java-Objekte dans Plattformspezifische Ordner Geschrieben – Ohne Jegliche Verschlüsselung”, Betont der Experi. „Jeder, Der Lokalen Oder Remote-Zugriff auf das dateisystem eines gestohlenen ordinateur portable, Einer Kompromittierten Workstation Oder Einer Einfachen Phishing-plaattform Erhält, Kann Die Verlaufsdateien Sammenn. überzeugende Spear-Phishing-Angriffe Zu Erstellen Oder Daten Zu Sammeln, Die Compliance-Verstöße Auslösen. «
Auch Pathlok Warnt, Dass Die Schwachstellen Trotz Einer Mittleren CVSS-Bewertung von 6 von 10 Zu Compliance-Problemen Führen Könnten. Er Verweist auf Risiken von Audit-Fehlern Gemäß GDPR, PCI DSS Oder Hipaa. SAP Reagierte Nicht auf Anfragen Zu diesem thea.
Die Spitze des Eisbergs?
Dani von Quality Merkte AN, Dass Diese Schwachstellen Zu Weiteren Gezielten Angriffen Führen Könte. „Abgesehen Davon, Dass Diese Extrahierten Daten Angreifern Genügend Munition für Spionageaktivitäten Liefern, Ermöglichen es die schwachstellen, die organisationsstruktur, nucungsmuster und systemkonfigurationn zu verstehen. ANGRIFFE WIE SPERAT-PHISHISH NOSTZEN, UM EINEN BETTAMMEN BUNUTZER EFFEKTIV ZU KOMPROMITTITTIERn und Weitere angriffe Vorzunehmen ”, So Dani.
Die Untersuchungen von pathlock führten auch zur entdeckung einer ähnlichen schwachstelle in sap netweaver as abap, die unter der nummer cve-2025-0059 erfasst wurde. Die lücke Tetrifft sap gui für html, da sie auf dem gleichen Problème beruht. SAP HAT Diese Variante Zwar Noch Nicht Gepatcht, Pathlock Befürchtet Jedoch, Dass Ein Patch Keine Dauerhafte Lösung Für Diese Problème.
Laut Stross Können Fallback-Mechanmismen Die von Sap Veröffentlichten Aktualisierten Versionen Mit Stärkerer Verschlüsselung – SAP GUI Für Windows 8.00 Niveau Patch 9+ und Sap Gui Für Java 7.80 Pl9 + Oder 8.10 – Poenziell Untergraben und UNNIRKSAMAn.
Pathlock Empfiehlt Unternehmen, den Eingabeverlauf vollständig zu deaktivieren, um das Risiko dauerhaft zu Mindern. (JM)
