Kurumsal Kaynak Planlaması (ERP) yazılımı olan SAP S/4HANA’yı etkileyen kritik bir güvenlik açığı, vahşi doğada aktif sömürü altına girmiştir.
Komut enjeksiyon güvenlik açığı, CVE-2025-42957 (CVSS skoru: 9.9), SAP tarafından geçen ay aylık güncellemelerinin bir parçası olarak sabitlendi.
NIST Ulusal Güvenlik Açığı veritabanındaki (NVD) kusurun açıklamasına göre, “SAP S/4HANA, kullanıcı ayrıcalıklarına sahip bir saldırganın RFC üzerinden maruz kalan işlev modülünde bir güvenlik açığını kullanmasına izin verir.” “Bu kusur, temel yetkilendirme kontrollerini atlayarak rasgele ABAP kodunun sisteme enjeksiyonunu sağlar.
Kusurun başarılı bir şekilde araştırılması, SAP ortamının tam bir sistem uzlaşmasına neden olabilir ve sistemin gizliliğini, bütünlüğünü ve mevcudiyetini altüst edebilir. Kısacası, saldırganların SAP veritabanını değiştirmesine, SAP_ALL ayrıcalıklarıyla süper kullanıcı hesapları oluşturmasına, şifre karmalarını indirmesine ve iş süreçlerini değiştirmesine izin verebilir.
SecurityBridge Tehdit Araştırma Laboratuvarları uyarı Perşembe günü yayınlanan, sorunun hem şirket içi hem de özel bulut sürümlerini etkilediğini belirterek kusurun aktif olarak sömürülmesini gözlemlediğini söyledi.
Şirket, “Sökülme, bir SAP sistemini tamamen tehlikeye atmak için yalnızca düşük ayrıcalıklı bir kullanıcıya erişim gerektiriyor.” Dedi. “Başarılı sömürünün kolayca sahtekarlık, veri hırsızlığı, casusluk veya fidye yazılımının kurulumuna yol açabileceği minimum çaba gerektiren tam bir sistem uzlaşması.”
Ayrıca, yaygın sömürü henüz tespit edilmemiş olsa da, tehdit aktörlerinin onu kullanma bilgisine sahip olduklarını ve bir istismar oluşturmak için yamayı tersine mühendisliğin “nispeten kolay” olduğunu kaydetti.
Sonuç olarak, kuruluşların yamaları mümkün olan en kısa sürede uygulamaları, şüpheli RFC çağrıları veya yeni yönetici kullanıcıları için günlükleri izlemeleri ve uygun segmentasyon ve yedeklemelerin mevcut olmasını sağlamaları tavsiye edilir.
“RFC kullanımını kısıtlamak ve Yetkilendirme Nesnesi S_DMIS Activity 02’ye erişimi kısıtlamak ve kısıtlamak için SAP UCON uygulamayı düşünün” dedi.