Эксперты по кибербезопасности предупреждают о выявлении критической уязвимости в драйвере преобразования JDBC-вызовов SAP jConnect. Данная проблема, зарегистрированная в Банке данных угроз безопасности информации (BDU) под идентификатором BDU:2025-16276, получила идентификатор CVE-2025-42928. Уязвимость связана с недостатками механизма десериализации данных. Следовательно, её эксплуатация может позволить злоумышленнику выполнить произвольный код в контексте уязвимого приложения. Производитель, компания SAP SE, уже подтвердил проблему и выпустил необходимые исправления.
Детали уязвимости
Уязвимость затрагивает популярный драйвер jConnect, который используется для подключения Java-приложений к базам данных SAP. В частности, под угрозой находятся версии 16.0.4 и 16.1 данного прикладного программного обеспечения. Согласно классификации MITRE, ошибка относится к категории CWE-502, то есть к десериализации недостоверных данных. Эта распространённая проблема возникает, когда приложение без должной проверки восстанавливает объекты из данных, полученных из ненадёжного источника. В результате атакующий может сконструировать специальный вредоносный пакет, который при обработке драйвером приведёт к выполнению произвольного кода.
Уровень опасности этой уязвимости оценивается как высокий по шкале CVSS 2.0 с базовым баллом 9.0 и как критический по более современной шкале CVSS 3.1 с баллом 9.1. Согласно вектору CVSS 3.1 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H), для атаки не требуется взаимодействия с пользователем, однако злоумышленнику необходимы высокие привилегии в системе. Тем не менее, при успешной эксплуатации воздействие является максимально серьёзным: под угрозой оказывается конфиденциальность, целостность и доступность всей системы, причём атака может распространиться на смежные компоненты. Таким образом, уязвимость представляет значительный риск для корпоративных сред, где используется SAP jConnect.
Основной способ эксплуатации заключается в манипулировании структурами данных, которые передаются на десериализацию драйверу. Например, атакующий, имеющий возможность отправлять специально сформированные JDBC-запросы к уязвимому серверу, может внедрить в них вредоносную нагрузку (payload). При обработке такого запроса драйвер попытается десериализовать данные, что приведёт к исполнению кода злоумышленника. Это может дать атакующему контроль над сервером приложений или базы данных. На данный момент информация о наличии публичных эксплойтов уточняется, однако высокая критичность уязвимости делает её привлекательной целью для исследователей и потенциальных киберпреступников.
Производитель устранил уязвимость, и единственным надёжным способом защиты является немедленное обновление программного обеспечения. SAP опубликовал соответствующие рекомендации и патчи в рамках своих ежемесячных обновлений безопасности за декабрь 2025 года. Соответственно, администраторам необходимо обратиться к официальному источнику по ссылке, указанной в базе BDU, и применить все доступные исправления. Крайне важно проверить все системы, использующие драйвер jConnect, на предмет наличия уязвимых версий. Кроме того, в качестве временной меры можно рассмотреть ограничение сетевого доступа к интерфейсам, использующим данный драйвер, только для доверенных источников.
Данный инцидент в очередной раз подчёркивает важность своевременного управления обновлениями в корпоративных средах. Уязвимости, связанные с небезопасной десериализацией, остаются одним из излюбленных векторов атак для продвинутых угроз (APT). Они часто используются для получения первоначального доступа к системе с последующим закреплением (persistence) и перемещением по сети. Поэтому помимо установки патчей рекомендуется проводить аудит логов на предмет подозрительной активности, связанной с обработкой JDBC-запросов. В долгосрочной перспективе интеграция подобных событий в систему управления информационной безопасностью и событиями (SIEM) или центр управления безопасностью (SOC) позволит повысить устойчивость инфраструктуры.
В заключение, критическая уязвимость CVE-2025-42928 в драйвере SAP jConnect требует незамедлительного внимания со стороны ИТ-специалистов и отделов безопасности компаний, использующих продукты SAP. Поскольку уязвимость позволяет выполнить удалённый код, её эксплуатация может привести к полному компрометированию сервера. Несмотря на то что для атаки требуются высокие привилегии, в сложных корпоративных системах этот барьер может быть преодолён. Следовательно, оперативное применение исправлений, предоставленных вендором, является ключевым и обязательным шагом для предотвращения потенциального инцидента и минимизации рисков для бизнеса.
Ссылки
- https://bdu.fstec.ru/vul/2025-16276
- https://www.cve.org/CVERecord?id=CVE-2025-42928
- https://support.sap.com/en/my-support/knowledge-base/security-notes-news/december-2025.html
- https://me.sap.com/notes/3685286
- https://url.sap/sapsecuritypatchday
