SAP NetWeaver’da, kimliği doğrulanmış, düşük ayrıcalıklı bir saldırganın keyfi kod yürütmesine ve tam bir sistem uzlaşması elde etmesine izin veren kritik bir güvenlik açığı CVE-2025-42922 keşfedilmiştir.
Kusur, yetersiz erişim kontrol doğrulamasının kötü amaçlı dosyaların yüklenmesine ve yürütülmesine izin verdiği Dağıtım Web Hizmeti Yükleme Mekanizmasında bulunur.
Bu güvenlik açığı, sunucu üzerinde tam kontrol elde etmek için kullanılabileceğinden, etkilenen SAP sistemlerine dayanan kuruluşlar için önemli bir risk oluşturmaktadır.
SAP NetWeaver Güvenlik Açığı
Vahagn Vardanian’a göre, güvenlik açığının temel nedeni, dağıtım web hizmetinde güvensiz bir dosya yükleme işlevidir.
Hizmet yanlış kabul eder multipart/form-data Dosya türü ve içeriğinin uygun rol tabanlı erişim kontrolü (RBAC) uygulanması veya doğrulanması olmayan istekler.
Bu gözetim, uygulamanın kodundaki yanlış kimlik doğrulama ek açıklamaları ve yetersiz rol kontrollerinden kaynaklanmaktadır.
Sonuç olarak, geçerli düşük seviyeli kullanıcı kimlik bilgileri elde eden bir saldırganın, dosya dağıtım özelliklerini yalnızca yönetim kullanıcılarıyla kısıtlaması gereken güvenlik kontrollerini atlayabileceğini söyledi.
Mekanizma, kimlik doğrulamalı kullanıcının böyle hassas bir işlem yapmak için gerekli izinlere sahip olup olmadığını doğrulayamaz ve kod yürütme için doğrudan bir yol oluşturur.
Bir saldırgan, önce düşük ayrıcalıklı bir kullanıcı hesabına erişerek bu güvenlik açığını kullanabilir.
Bu kimlik bilgilerini kullanarak, savunmasız dağıtım web hizmetinin kimliğini doğrulayabilir ve JavaServer sayfaları (JSP) komut dosyası gibi kötü amaçlı bir dosya içeren çok partili bir istek oluşturabilirler.
Uygulama, bu dosyayı sunucudaki yürütülebileceği bir dizine uygunsuz bir şekilde kabul eder ve yükler.
Saldırganın daha sonra URL’sine erişerek yüklenen dosyanın yürütülmesini tetiklemesi gerekir. Başarılı sömürü, SAP hizmet hesabının ayrıcalıklarıyla keyfi kod yürütülmesine neden olur.
Bu, tehdit oyuncusunun ayrıcalıkları artırmasına, ağ boyunca yanal olarak hareket etmesine, hassas verileri dışarı atmasına veya daha fazla kötü amaçlı yazılım dağıtmasına ve tam bir sunucu devralmasına yol açmasına olanak tanır.
Hafifletme
Bu kritik sorunu ele almak için, kuruluşların SAP Security Note 3643865’te derhal yayınlanan yamaları uygulamaları şiddetle tavsiye edilir.
Yama yapmadan önce, yöneticiler SAP Note 1974464’te belirtildiği gibi bir bağımlılık analizi yapmalıdır. Hemen yamalanamayan sistemler için SAP, KBA 3646072’de geçici bir çözüm sağlamıştır.
Ek bir önlem olarak, Dağıtım Web Hizmetine erişim yalnızca yönetim kullanıcıları ile sınırlandırılmalıdır.
Güvenlik ekipleri, HTTP Post talepleri gibi Uzlaşma Göstergeleri (IOCS) için sistem günlüklerini denetlemelidir. multipart/form-data Olağandışı saatlerde gerçekleşen yürütülebilir dosya türleri (JSP, War, Ear) veya dağıtım faaliyetlerini içeren gönderimler.
Günlükler veya Web Uygulaması Güvenlik Duvarı (WAF) için örnek bir filtre olabilir. source.user != "admin" AND http.method == "POST" AND http.path CONTAINS "DeployWS".
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.