SecurityBridge araştırmasına göre, SAP S/4HANA’da CVE-2025-42957 olarak izlenen kritik bir güvenlik kusuru saldırganlar tarafından aktif olarak sömürülüyor.
10 üzerinden 9,9’luk bir CVSS puanı taşıyan güvenlik açığı, düşük privileged bir kullanıcının kod enjeksiyonunu yürütmesine ve bir SAP sisteminin tam kontrolünü kazanmasına izin verir.
Şirket içi veya özel bulut ortamlarında SAP S/4HANA çalıştıran kuruluşlar, tam bir sistem devralmayı önlemek için hemen satıcının yamasını uygulamalıdır.
| CVE tanımlayıcısı | CVSS Puanı | Etkilenen sürümler |
|---|---|---|
| CVE-2025-42957 | 9.9 | Tüm SAP S/4HANA sürümleri (Şirket içi ve özel bulut) |
SecurityBridge’in Tehdit Araştırma Laboratuarları ilk olarak rutin güvenlik testi sırasında kusuru keşfetti ve 27 Haziran 2025’te SAP’ye açıkladı.
SAP, 11 Ağustos’ta Ağustos 2025 Patch Günü kapsamında bir düzeltme yayınladı. Ancak SecurityBridge, güvenlik açığının gerçek dünya saldırılarında zaten kullanıldığını doğruladı, yani eşleştirilmemiş sistemler yüksek risk altında kaldı.
CVE-2025-42957’nin sömürülmesi, yalnızca savunmasız bir RFC modülüne ve etkinlik 02 ile S_DMIS Yetkilendirme Nesnesine erişimi olan geçerli bir SAP kullanıcı hesabı gerektirir.
Kötü niyetli bir bağlantıyı tıklamak gibi ek kullanıcı etkileşimi gerekmez. Bir kez sömürüldüğünde, bir saldırgan şunları yapabilir:
- SAP uygulama katmanında keyfi ABAP kodu yürüt
- SAP veritabanındaki verileri okuyun, değiştirin veya silin
- Tam Yönetici Hakları ile Yeni SAP Kullanıcıları Oluştur (SAP_ALL)
- Tüm SAP hesapları için şifre karmalarını indirin
- Kritik iş süreçlerini değiştirin veya devre dışı bırakın
Saldırının sadeliği ve ağ tabanlı doğası bu kusuru son derece tehlikeli hale getirir.
Bir tehdit oyuncusu, kimlik avı veya içeriden erişimi ile elde edilen temel kullanıcı kimlik bilgileriyle başlayabilir ve tüm SAP ortamını devralmak için ayrıcalıkları hızla artırabilir.
Saldırganlar oradan finansal kayıtlara müdahale edebilir, müşteri verilerini çalabilir veya temel sunuculara fidye yazılımı dağıtabilir.
SecurityBridge henüz yaygın küresel kampanyalar gözlemlemedi, ancak hedeflenen kötüye kullanım doğrulandı.
Uzmanlar, ABAP kodu açık ve görünür olduğu için SAP yamasının tersine çevrilmesinin nispeten basit olduğu konusunda uyarıyor. Bu sömürü gelişiminin kolaylığı, yamanın aciliyetinin altını çizmektedir.
Riski azaltmak için SAP müşterileri:
- Gecikmeden SAP Güvenlik Notları 3627998 ve 3633838 uygulayın.
- S_DMIS Yetkilendirme Nesne Kullanımını Gözden Geçirme ve Kısıtlama RFC çağrılarını sınırlayın.
- Olağandışı RFC istekleri veya yeni yönetim hesapları için sistem günlüklerini izleyin.
- Ağ segmentasyonunu uygulayın ve güncel yedeklemeleri koruyun.
- Erişim kontrollerini sıkmak için SAP UCON’u dağıtmayı düşünün.
SecurityBridge platformunu kullanan kuruluşlar, CVE-2025-42957 için sömürü girişimlerini algılayabilir ve engelleyebilir ve şüpheli aktiviteye görünürlük kazanabilir.
Bu olay, SAP manzaralarında zamanında yama ve izlemenin kritik önemini vurgulamaktadır.
İşletmeler, bu güvenlik açığını acil bir durum olarak ele almalı, olası sahtekarlığı, veri kaybını veya operasyonel aksamaları önlemek için güncellemelerin hızlı bir şekilde yerleştirilmesine öncelik vermeli ve genel SAP güvenlik duruşlarını güçlendirmelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.