SAP S/4HANA propust CVE-2025-42957
Kritična ranjivost u SAP S/4HANA (CVE-2025-42957)
.png)
1. Sažetak
Otkrivena je kritična ranjivost CVE-2025-42957 u SAP S/4HANA (ERP sustavu), ocijenjena CVSS 9.9. Ovaj command injection propust omogućuje korisnicima s pristupom putem RFC funkcija da izvrše proizvoljni ABAP kod bez autorizacije, što potencijalno može dovesti do potpune kontrole nad sustavom. Ranije zakrpana u SAP-ovom Patch Day ažuriranju, eksploatacija je već potvrđena u divljini.
2. Detalji
Ranjivost CVE-2025-42957 pogađa SAP S/4HANA sustave i vezana je uz način na koji se obrađuju RFC (Remote Function Call) zahtjevi. Ovi zahtjevi koriste se za komunikaciju između različitih SAP komponenti, ali i između SAP sustava i vanjskih aplikacija. Zbog greške u validaciji unosa i nedostatne provjere autorizacije, moguće je u tijek obrade ubaciti proizvoljni ABAP kod. Takav kod se potom izvršava s ovlastima aplikacijskog servera, što napadaču daje mogućnost da manipulira podacima ili preuzme potpunu kontrolu nad sustavom.
Eksploatacija ne zahtijeva visoke privilegije, dovoljan je račun s osnovnim pristupom sustavu. Napadač zatim može:
• čitati i mijenjati poslovne podatke,
• zaobilaziti postojeće kontrole u poslovnim procesima,
• kreirati lažne transakcije,
• instalirati trajne backdoore u ABAP kod,
• proširiti napad na druge povezane sustave unutar ERP okruženja.
Posebno je zabrinjavajuće što SAP S/4HANA predstavlja središnji poslovni sustav koji integrira financije, nabavu, proizvodnju i logistiku. Kompromitacija ovog sustava znači kompromitaciju cijele poslovne infrastrukture, uključujući osjetljive financijske izvještaje i podatke o klijentima.
Zbog toga se ranjivost smatra jednim od najozbiljnijih nedostataka u posljednjem razdoblju, a visok CVSS rezultat (9.9) i potvrđena eksploatacija u divljini dodatno naglašavaju hitnost sanacije.
3. Preporuke
Za zaštitu od ove vrste napada preporučuje se:
• Odmah nadograditi SAP S/4HANA na najnovije zakrpane verzije koje uključuju ispravak za CVE-2025-42957.
• Provjeriti konfiguraciju RFC funkcija i onemogućiti pristup nepotrebnih ili nezaštićenih modula.
• Intenzivno nadzirati logove i aktivnosti povezane s RFC pozivima — potencijalno anomalne ulaze ili neautorizirane obrasce ponašanja.
• Primijeniti princips "least privilege": ograničiti korisničke i procesne dozvole, smanjujući površinu napada.
• Redovito pratiti SAP Security Notes i Patch Day izdanja za nove zakrpe i prijetnje.
4. Reference
• https://thehackernews.com/2025/09/sap-s4hana-critical-vulnerability-cve.html
• https://nvd.nist.gov/vuln/detail/CVE-2025-42957
Prijava na newsletter
Budite u toku s najnovijim sigurnosnim upozorenjima, analizama i praktičnim savjetima naših stručnjaka.
.png)
.png)