SAP, NetWeaver web uygulaması sunucusunu etkileyen, ayrıcalıkları yükseltmek ve kısıtlı bilgilere erişmek için kullanılabilecek iki kritik güvenlik açığını düzeltti.
Ocak Güvenlik Yaması Günü’nün bir parçası olarak satıcı, orta ve yüksek önem derecesine sahip 12 ek sorunu düzeltmek için diğer ürünler için de güncellemeler yayınladı.
Şirketin güvenlik bülteninde “SAP, müşterinin Destek Portalını ziyaret etmesini ve SAP ortamını korumak için öncelikli olarak yamalar uygulamasını şiddetle tavsiye ediyor” diyor.
SAP’nin bu ay ele aldığı en ciddi dört güvenlik sorunu şöyle özetleniyor:
- CVE-2025-0070, kritik şiddet, 9,9 puan): ABAP ve ABAP Platformu için SAP NetWeaver Uygulama Sunucusunda uygun olmayan kimlik doğrulama, kimliği doğrulanmış bir saldırganın uygunsuz kimlik doğrulama kontrollerinden yararlanmasına olanak tanıyarak ayrıcalıkların yükselmesine neden olur ve gizliliği, bütünlüğü ve kullanılabilirliği önemli ölçüde etkiler.
- CVE-2025-0066, kritik şiddet, 9,9 puan: ABAP ve ABAP Platformu (İnternet İletişim Çerçevesi) için SAP NetWeaver AS’deki bilgilerin açığa çıkması güvenlik açığı, zayıf erişim kontrolleri nedeniyle oluşur, bir saldırganın kısıtlı bilgilere erişmesine olanak tanır ve gizlilik, bütünlük ve kullanılabilirlikten önemli ölçüde ödün verir.
- CVE-2025-0063, yüksek önem derecesi, 8,8 puan: SAP NetWeaver AS ABAP ve ABAP Platformundaki SQL enjeksiyon güvenlik açığı, belirli RFC işlev modülleri için yetkilendirme kontrollerinin eksikliğinden kaynaklanmaktadır. Bu, temel ayrıcalıklara sahip bir saldırganın Informix veritabanını tehlikeye atmasına olanak tanıyarak gizliliğin, bütünlüğün ve kullanılabilirliğin tamamen kaybolmasına yol açar.
- CVE-2025-0061, yüksek önem derecesi, 8,7 puan: SAP BusinessObjects Business Intelligence Platform’daki birden fazla güvenlik açığı, kimliği doğrulanmamış bir saldırganın, bilgilerin ifşa edilmesi sorunu nedeniyle ağ üzerinden oturum ele geçirme işlemi gerçekleştirmesine olanak tanır. Bu, saldırganın tüm uygulama verilerine erişmesine ve bunları değiştirmesine olanak tanır.
Etki ve öneriler
SAP ürünleri, imalat, finans, perakende, sağlık ve kamu gibi sektörlerdeki büyük kuruluşlara hizmet vererek iş operasyonlarını ve müşteri ilişkilerini yönetmede kritik rolleri yerine getirir.
SAP NetWeaver, ABAP uygulamalarını çalıştırmak ve İnternet İletişim Çerçevesi aracılığıyla güvenli iletişimi sağlamak için kullanılan temel bir platformdur. Genellikle finans, İK ve tedarik zinciri için ERP sistemlerini yöneten kuruluşlardaki BT yöneticileri, geliştiriciler ve danışmanlar tarafından kullanılır.
SAP BusinessObjects, analistler, karar vericiler ve BT ekipleri tarafından içgörü elde etmek ve stratejik kararları desteklemek için kullanılan bir raporlama, analiz ve veri görselleştirme platformudur.
Geçmişte bilgisayar korsanları, bilinen güvenlik açıklarını giderecek şekilde güncellenmemiş veya yanlış yapılandırılmış SAP ürünlerini hedef alarak ağları ihlallere açık bırakmıştı.
Alman satıcı, müşterilerinin SAP ortamlarını korumak için mevcut en son yamaları uygulamalarını şiddetle tavsiye ediyor.