Der monatliche SAP Security Patchday fühlt sich oft wie der Mythos von Sisyphus an: Gerade wenn man den Felsbrocken bis zum Gipfel geschoben und den Patchzyklus abgeschlossen hat, wird man wieder ganz nach unten geschickt, um von vorne zu beginnen. Im vergangenen Monat waren viele SAP-Kunden gezwungen, ihren SAP-Kernel zu aktualisieren – eine erhebliche Arbeitsbelastung für die ohnehin schon stark ausgelasteten SAP-Basis-Teams, da es oft mit Systemausfällen verbunden ist. Ein Paradebeispiel war der Hinweis 3600840 (CVSS 9.6), der sich mit kritischen Autorisierungsprüfungen in der RFC-Kommunikation befasste.
Der „(Nicht) schon wieder“ – Moment
Auf Grundlage von Research von smarterSec veröffentlicht SAP diesen Monat den Hinweis 3674774 „[CVE-2026-0509] Missing Authorization check in SAP NetWeaver Application Server ABAP and ABAP Platform“. Auch dieser Hinweis hat wieder einen kritischen CVSS-Score von 9,6.
Daher müssen wir sagen: „Sorry (but not sorry) – Sie müssen Ihre SAP-Kernel-Version aktualisieren. Schon wieder.” Angesichts der Kritikalität empfehlen wir dringend, die Implementierung mit höchster Priorität durchzuführen.
Februar auf einen Blick
Abgesehen vom Kernel-Update ist der Patchday im Februar außergewöhnlich umfangreich:
- 27 neue Patches wurden veröffentlicht (plus 2 Updates zu früheren Hinweisen).
- 7 Patches speziell für SAP BusinessObjects und SAP Business One.
- HotNews Alert (Hinweis 3697099): Mit einem nahezu maximalen CVSS-Wert von 9,9 bewertet. Diese Schwachstelle ermöglicht es einem Angreifer, beliebige ABAP-Funktionsbausteine aufzurufen – unabhängig davon, ob diese RFC-fähig sind. Dies stellt einen massiven Angriffsvektor dar.
Sind Ihre Systeme anfällig?
Hoffen Sie nicht – überprüfen Sie es. Der schnellste Weg, fehlende Patches und Fehlkonfigurationen zu identifizieren, ist ein gezielter Assessment Scan mit der smarterSec Security Platform.
Beenden Sie den Sisyphus-Zyklus. Lassen Sie uns darüber sprechen, wie wir Ihnen helfen können, Ihren Patch-Management-Prozess zu automatisieren und zu optimieren.