Опасна уязвимост в SAP S/4HANA – какво трябва да знаят организациите

През последните дни специалисти по киберсигурност съобщиха за критична уязвимост в SAP S/4HANA – една от най-популярните ERP системи, използвана от големи компании по целия свят за управление на бизнес процеси, финанси и логистика. Проблемът вече се експлоатира активно от хакери и представлява сериозен риск за организациите, които не са инсталирали последните актуализации.

Какво представлява уязвимостта?

Слабостта е регистрирана под кода CVE-2025-42957 и получава почти максимална оценка за риск – 9.9 по скалата CVSS. Тя позволява на атакуващите, дори с минимални потребителски права в системата, да инжектират зловреден код и да заобикалят стандартните механизми за защита.

С други думи – ако един служител или външен потребител има ограничен достъп до SAP, той може да използва този пропуск, за да получи пълен контрол върху системата.

Какви могат да бъдат последствията?

При успешна атака хакерите могат да:

• променят или изтрият данни от базата;
• създават администраторски акаунти с пълни права (SAP_ALL);
• изтеглят хешове на пароли и да ги използват за достъп;
• манипулират бизнес процеси – например плащания, поръчки и финансови отчети;
• внедрят зловреден софтуер като рансъмуер, който блокира достъпа до системата.

Това на практика означава загуба на конфиденциалност, целостта и достъпността на цялата ERP среда – трите основни стълба на информационната сигурност.

Кой е засегнат?

Уязвимостта засяга както on-premise инсталациите (инсталирани локално в компаниите), така и частните облачни версии на SAP S/4HANA. Експертите от SecurityBridge Threat Research Labs потвърждават, че вече са засечени реални опити за атаки.

Важно е да се отбележи, че за успешна експлоатация е необходим само достъп до акаунт с минимални права – което значително улеснява хакерите.

Защо проблемът е толкова сериозен?

Лесна експлоатация – според специалистите е сравнително лесно да се изгради работещ експлойт чрез анализ на пуснатия от SAP пач.

Голям мащаб на щетите – една успешна атака може да доведе до измами, кражба на данни, индустриален шпионаж или блокиране на бизнеса чрез рансъмуер.

Критични системи – ERP решенията обикновено управляват най-важните процеси на една компания.

Как да се предпазите?

SAP вече е пуснала пач, който отстранява уязвимостта. Препоръчително е организациите да предприемат следните действия:

• Инсталирайте актуализациите незабавно.
• Следете логовете за подозрителни обаждания чрез RFC или появата на нови администраторски акаунти.
• Осигурете резервни копия и добра сегментация на мрежата, за да ограничите щетите при евентуален пробив.
• Използвайте SAP UCON за ограничаване на достъпа до RFC.
• Прегледайте правата за достъп и ограничете дейностите, свързани с authorization object S_DMIS activity 02.

Заключение

Уязвимостта CVE-2025-42957 е пример за това колко опасни могат да бъдат пропуските в критични корпоративни системи. Ако вашата организация използва SAP S/4HANA, не отлагайте инсталирането на последните актуализации и предприемете допълнителни мерки за защита.

Сигурността не е еднократен процес, а постоянен ангажимент.