Корпоративные системы планирования ресурсов предприятия (ERP) оказались под прицелом злоумышленников. В середине мая 2026 года компания SAP выпустила ежемесячный пакет исправлений, который закрыл 15 новых уязвимостей в своей экосистеме. Две из них получили критическую оценку опасности - 9,6 балла из 10 по шкале CVSS. Это означает, что угроза максимально серьезна, и атаки могут начаться в любой момент.
Детали уязвимостей
Наибольшую тревогу вызывает уязвимость CVE-2026-34260 в компоненте корпоративного поиска на базе ABAP (язык программирования бизнес-приложений SAP). Речь идет о SQL-инъекции (внедрении вредоносных запросов в базу данных). Если злоумышленник воспользуется этой брешью, он сможет выполнять произвольные запросы к базе данных, чтобы похищать, изменять или удалять конфиденциальные бизнес-записи. Причем для этого не требуются повышенные сетевые привилегии - достаточно стандартного доступа. Системы SAP S/4HANA, на которые завязаны финансы, логистика и управление заказами многих крупных компаний, оказываются под прямым ударом.
Вторая критическая уязвимость, CVE-2026-34263, связана с отсутствием проверки подлинности в конфигурации SAP Commerce Cloud (облачная платформа для электронной коммерции). Это позволяет неавторизованному нарушителю полностью обойти механизмы безопасности и получить удаленный контроль над клиентскими витринами. Учитывая, что через такие платформы проходят платежные данные и персональная информация покупателей, последствия взлома могут быть катастрофическими - от утечки данных до финансового мошенничества.
Однако не только эти две бреши требуют немедленного внимания. Среди исправлений высокой степени опасности выделяется уязвимость внедрения команд операционной системы CVE-2026-34259 в модуле прогнозирования и пополнения запасов. Ее рейтинг - 8,2 балла. Атакующий, уже имеющий высокие привилегии в системе, может выполнить опасные команды непосредственно на сервере под управляющей операционной системой. Это открывает путь к полной компрометации инфраструктуры.
В общей сложности в майском обновлении устранены еще двенадцать проблем среднего и низкого уровня. Среди них - межсайтовый скриптинг (XSS) в приложении Business Server Pages, отсутствие проверок авторизации в модулях управления условиями S/4HANA и стратегического управления предприятием, внедрение кода на сервере приложений ABAP для NetWeaver, а также уязвимость подделки межсайтовых запросов в BusinessObjects Business Intelligence. Отдельного упоминания заслуживает проблема с некорректной проверкой сертификатов в Apache Log4j, используемом в Commerce Cloud - хотя ее оценка всего 4,8, но эта библиотека часто становится целью массовых атак.
Все эти второстепенные уязвимости, как предупреждают эксперты, могут быть сцеплены между собой для глубокого проникновения в корпоративную сеть. Например, злоумышленник может использовать CSRF (межсайтовую подделку запросов) для обхода авторизации, а затем с помощью XSS внедрить вредоносный скрипт и получить доступ к сессиям других пользователей. Поэтому специалистам по информационной безопасности нельзя ограничиваться только критическими патчами - необходимо оценить всю совокупность угроз.
Как показывает практика, злоумышленники активно атакуют корпоративные системы SAP, поскольку именно в них хранятся наиболее ценные данные: финансовая отчетность, интеллектуальная собственность, контракты, персональные данные сотрудников и клиентов. Промедление с обновлением может стоить компании не только утечки, но и остановки бизнес-процессов. В 2025 году, например, атака через аналогичную SQL-инъекцию на одного из европейских ритейлеров привела к простою интернет-магазина на двое суток и убыткам в несколько миллионов евро.
Что делать администраторам и командам безопасности? В первую очередь - в приоритетном порядке установить патчи для двух критических уязвимостей (CVE-2026-34260 на S/4HANA и CVE-2026-34263 на Commerce Cloud). Затем развернуть обновления для модуля прогнозирования и пополнения запасов. После этого стоит провести ревизию всех остальных компонентов, перечисленных в бюллетене SAP, и применить соответствующие патчи. Особое внимание - системам, доступным из интернета, таким как корпоративные порталы на NetWeaver и BusinessObjects.
Следует помнить, что обновление - это лишь часть защитных мер. Необходимо также настроить системы обнаружения вторжений (IDS) и управления событиями безопасности (SIEM) на выявление попыток эксплуатации SQL-инъекций и обхода аутентификации. Кроме того, полезно провести аудит прав доступа: многие уязвимости из майского набора требуют уже имеющихся привилегий, поэтому минимизация прав пользователей снижает риск.
В целом майский патч SAP 2026 года напоминает, что безопасность корпоративных систем - это непрерывный процесс. Одна неисправленная уязвимость может перечеркнуть все остальные усилия по защите. Поэтому компаниям стоит взять за правило внедрять обновления в день их выхода, не дожидаясь атак. В конце концов, стоимость профилактики всегда ниже стоимости ликвидации последствий инцидента.
Ссылки
