SAP, ABAP ve ABAP Platformu için NetWeaver Uygulama Sunucusunda iki kritik güvenlik açığını açıkladı ve olası güvenlik risklerini azaltmak için acil eylem çağrısında bulundu.
CVE-2025-0070 ve CVE-2025-0066 olarak takip edilen güvenlik açıklarının her ikisi de kritik önem derecelerini yansıtan CVSS v3.1 temel puanı 9,9’dur.
CVE-2025-0070: Uygunsuz Kimlik Doğrulaması
CVE-2025-0070, uygunsuz kimlik doğrulama güvenlik açığı (CWE-287) olarak sınıflandırılmıştır. Kimliği doğrulanmış bir saldırganın ABAP ve ABAP Platformu için SAP NetWeaver Uygulama Sunucusu içindeki kimlik doğrulama kontrollerindeki zayıflıklardan yararlanmasına olanak tanır.
Başarılı bir şekilde yararlanma, ayrıcalıkların yükselmesine yol açarak saldırganların hassas verilere yetkisiz erişim sağlamasına, yapılandırmaları değiştirmesine ve sistem işlemlerini kesintiye uğratmasına neden olabilir.
Güvenlik açığı, KRNL64NUC 7.22, 7.53, 8.04 ve 9.14 sürümüne kadar olan diğerleri de dahil olmak üzere SAP NetWeaver’ın birden çok sürümünü etkiliyor. Saldırı vektörü, saldırı karmaşıklığı düşük, ağ tabanlıdır, minimum düzeyde ayrıcalık gerektirir ve kullanıcı etkileşimi gerektirmez. Bu, saldırganların istismar etmesini nispeten kolaylaştırır.
SAP henüz bu güvenlik açığına yönelik bir yama yayınlamadı ancak güçlü erişim kontrollerinin uygulanmasını, kimlik doğrulama girişimlerinin izlenmesini, en az ayrıcalık ilkesinin uygulanmasını ve kritik sistemleri yalıtmak için ağ bölümlendirmesinin kullanılmasını öneriyor.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
CVE-2025-0066: Zayıf Erişim Denetimleri
CVE-2025-0066, ABAP ve ABAP Platformu için SAP NetWeaver AS’nin İnternet İletişim Çerçevesindeki (CWE-732) zayıf erişim kontrollerinden kaynaklanmaktadır.
Belirli koşullar altında bu kusur, saldırganların kısıtlı bilgilere erişmesine olanak tanıyarak, potansiyel olarak etkilenen uygulamaların gizliliğini, bütünlüğünü ve kullanılabilirliğini tehlikeye atabilir.
Güvenlik açığı SAP_BASIS 700’den SAP_BASIS 914’e kadar olan sürümleri etkiliyor. CVE-2025-0070 gibi bu sorun da düşük karmaşıklık ve minimum ayrıcalık gerektiren ağ tabanlı bir saldırı yoluyla kullanılabilir. Kötüye kullanım, yetkisiz veri erişimine, veri manipülasyonuna veya hizmet kesintisine yol açabilir.
Azaltma önlemleri arasında mevcut izinlerin gözden geçirilmesi, güçlü erişim kontrollerinin uygulanması, hassas kaynak erişim günlüklerinin denetlenmesi ve sistemlerin en son güvenlik yapılandırmalarıyla güncellenmesinin sağlanması yer alır.
SAP, bu güvenlik açıklarını Ocak 2025 Güvenlik Yaması Günü kapsamında açıkladı. Bu spesifik sorunlara yönelik yamalar şu an için onaylanmamış olsa da şirket, müşterilerini mevcut güncellemeleri uygulayarak ve önerilen en iyi uygulamaları takip ederek sistemlerinin güvenliğini sağlamaya öncelik vermeye çağırdı.
Bu güvenlik açıkları, kurumsal ortamlarda proaktif güvenlik önlemlerinin önemini vurgulamaktadır. SAP NetWeaver kullanan kuruluşların bu kritik kusurlarla ilişkili riskleri en aza indirmek için hızlı hareket etmeleri tavsiye edilir.
Bu güvenlik açıklarının azaltılması veya mevcut güncellemelere erişim konusunda daha fazla ayrıntı için SAP müşterilerinin resmi SAP Destek Portalı’na başvurmaları önerilir.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!