SAP zakrpao kritične ranjivosti

Sadržaj

SAP je u prosincu 2025. objavio sigurnosna ažuriranja koja uključuju tri kritične ranjivosti s potencijalom za kompromitaciju širokog spektra SAP proizvoda. Najozbiljniji propust je CVE-2025-42880, ranjivost udaljenog izvršavanja koda u SAP NetWeaver Application Serveru. Uz njega su zakrpane i dvije dodatne kritične ranjivosti u SAP-HANA komponentama te više visokorizičnih propusta u modulima za autentikaciju, poslovnu logiku i obradu podataka. Više sigurnosnih tvrtki potvrdilo je da ranjivosti imaju visoku eksploatabilnost i mogu se iskoristiti za potpunu kompromitaciju poslovnih sustava.

Detalji

CVE-2025-42880 predstavlja propust u SAP NetWeaver AS-ABAP i Java okruženju koji napadaču omogućuje udaljeno izvršavanje koda bez autentikacije. Riječ je o pogrešnom rukovanju korisničkim unosima unutar komunikacijskog sloja, što omogućuje injection mehanizam koji može rezultirati kompromitacijom cijelog aplikacijskog servera.

Zbog toga napadač može preuzeti kontrolu nad procesima, pristupiti podacima, manipulirati poslovnim funkcijama ili instalirati zlonamjerne module.
Sigurnosne analize upućuju na postojanje dodatnog kritičnog rizika u SAP HANA okruženjima koji omogućuje zaobilaženje mehanizama autorizacije i neovlašten pristup internim tablicama i servisima. Takav propust može omogućiti izmjenu podataka, narušavanje integriteta baze ili pristup osjetljivim poslovnim zapisima. Rizik je posebno izražen jer SAP HANA baze predstavljaju središnju komponentu brojnih SAP implementacija i izravno podržavaju ključne poslovne procese.

‍
Treća kritična slabost odnosi se na više modula SAP Business Technology Platform i integracijskih servisa gdje je pronađen niz nesigurnih API krajnjih točaka koje omogućuju neautorizirano dohvaćanje podataka ili eskalaciju privilegija. Analize potvrđuju da je eksploatacija realna, jer napadač može iskoristiti neadekvatnu validaciju parametara i dobiti pristup podacima ili izvršiti osjetljive sustavske operacije.

‍
Prema SAP sigurnosnim bilješkama, ove ranjivosti pogađaju velik broj okruženja i implementacija, uključujući industrijske sustave, financijske module. Zbog toga je objava označena kao prioritetna, a administratori su pozvani da odmah primijene zakrpe. Sigurnosne tvrtke upozoravaju da je kombinacija propusta iznimno opasna jer omogućuje lančanu eskalaciju od neautoriziranog pristupa do potpunog preuzimanja SAP okruženja, uključujući kritične poslovne procese i baze podataka.

Preporuke

• Odmah primijeniti sve dostupne SAP zakrpe iz prosinca 2025., uključujući zakrpu za CVE-2025-42880 i vezane HANA propuste.
• Ograničiti pristup administrativnim i API sučeljima isključivo na interne i kontrolirane mreže.
• Provjeriti konfiguracije autorizacija, posebno u modulima koji se integriraju preko SAP BTP servisa.
• Primijeniti segmentaciju i zero trust principe oko SAP sustava.

Reference

• https://support.sap.com/en/my-support/knowledge-base/security-notes-news/december-2025.html
• https://www.cve.org/CVERecord?id=CVE-2025-42880
• https://www.bleepingcomputer.com/news/security/sap-fixes-three-critical-vulnerabilities-across-multiple-products/amp/

‍