Az SAP S/4HANA sérülékenységét aktívan kihasználják a támadások során

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

A kiberbiztonsági szakértők figyelmeztetést adtak ki az SAP S/4HANA szoftvert érintő CVE-2025-42957 (CVSS pontszám: 9,9) azonosítón nyomon követett, aktívan kihasznált sebezhetőséggel kapcsolatban.

Az SAP S/4HANA az SAP vállalati erőforrás-tervező (ERP) megoldása, amelyet közép- és nagyvállalatok világszerte használnak pénzügyi, ellátási lánc-, gyártási, értékesítési, beszerzési és HR-folyamatok kezelésére.

A CVE-2025-42957 egy parancsbefecskendezési (command injection) sérülékenység, amely lehetővé teszi, hogy a támadó teljes hozzáférést szerezzen az érintett SAP rendszerekhez. A sebezhetőség az RFC-n (Remote Function Call) keresztül elérhető funkciómodulban található, és lehetőséget ad tetszőleges ABAP kód befecskendezésére, miközben megkerüli az alapvető jogosultság-ellenőrzéseket.

Ez a sebezhetőség hatékonyan funkcionál backdoor-ként, így a teljes rendszer veszélyeztetésének kockázatát hordozza magában, és alapjaiban sértheti a rendszer bizalmasságát, sértetlenségét, valamint rendelkezésre állását.

A sérülékenység minden S/4HANA kiadást érint, beleértve a Private Cloud és az On-Premise verziókat is. Már alacsony jogosultságú fiókkal is teljes kompromittáció érhető el. A gyártó 2025. augusztus 11-én kiadta a hivatalos javítást, amelynek mielőbbi telepítése elengedhetetlen.

A sebezhetőség aktívan kihasznált állapotát a SecurityBridge Threat Research Labs kutatói erősítették meg. Kutatásaik szerint az exploit könnyen létrehozható, mivel az ABAP patch visszafejtésével gyorsan rekonstruálható a hiba. A kutatók szerint a támadás komplexitása alacsony, hálózaton keresztül végrehajtható, és nem igényel felhasználói interakciót.

A sikeres támadás következményei között szerepelhet:

  • csalás és pénzügyi visszaélések,
  • adatlopás érzékeny üzleti információkról,
  • kémkedés,
  • zsarolóvírus telepítése.

A SecurityBridge szakértői szerint a támadónak mindössze egy érvényes, alacsony szintű felhasználói fiókra van szükségük, amely rendelkezik a sebezhető RFC modul meghívásához szükséges jogosultságokkal (S_DMIS azonosítás, 02-es aktivitással). Ez azt jelenti, hogy akár egy belső, akár egy külső fenyegető szereplő (például adathalászat útján megszerzett belépési adatokkal) is képes lehet teljes rendszerkompromittálásra.

A kiberbiztonsági szakértők egyöntetű álláspontja szerint a szervezeteknek azonnal alkalmazniuk kell a gyártó által kiadott javítást, mivel az aktív kihasználás már megkezdődött.

(forrás, forrás)