Súlyos fenyegetést jelentő sebezhetőségek
Emellett további három jelentős, 9,9-es, 9,6-os és 9,1-es pontszámú biztonsági hibát is azonosítottak a NetWeaver platformon. Az SAP S/4HANA programcsomagban egy másik súlyos sebezhetőséget (CVE-2025-42957) a hackerek már aktívan ki is használnak; ezt a múlt hónapban foltozták be. Ez a hiba lehetőséget ad arra, hogy szinte bármely, minimális jogosultsággal rendelkező SAP-felhasználó – például adathalászattal megszerzett belépéssel – teljes egészében átvegye az irányítást a rendszer felett. Ez adatlopáshoz, ipari kémkedéshez, csaláshoz vagy akár zsarolóvírus telepítéséhez is vezethet.
Mit kockáztatnak a vállalatok?
A támadónak csak egy egyszerű felhasználói fiókra van szüksége, amely hozzáfér a veszélyeztetett modulhoz és egy konkrét engedélyhez. Nem kell semmiféle interakció a felhasználóval; a támadás könnyen automatizálható és távolról is végrehajtható, ezért a súlyossági pontszám is 9,9. A hibát akár egy belső munkatárs, akár egy kívülről kompromittált gyenge felhasználó is kihasználhatja.
Az SAP maga is figyelmeztet: a hiba lényegében „hátsó ajtóként” működik, ami totális hozzáférést adhat illetékteleneknek, és veszélyezteti a bizalmas adatokat, illetve a rendszerek működését. Kiemelték, hogy a legmagasabb kockázatú hibákat azonnal ajánlott javítani, mivel az S/4HANA rendszer súlyosan kompromittálódhat.
Még több érintett SAP-termék
A kedden közzétett jelentés szerint további SAP-termékekben is találtak sebezhetőségeket: érintett a Business One, a Landscape Transformation Replication Server, a Commerce Cloud, a Data Hub, a Business Planning and Consolidation, a HCM, a BusinessObjects Business Intelligence Platform, a Supplier Relationship Management, valamint a Fiori is. Ezek a hibák is komoly veszélyt jelenthetnek a cégek működésére (3,1–8,8 közötti súlyossággal).
A rendszergazdáknak mindenképpen ajánlott mielőbb telepíteni a javításokat, hogy elkerüljék a lehetséges támadásokat és adatvesztést, hiszen a támadók már aktívan keresik a kihasználható hibákat.
