В апреле 2026 года было подтверждено существование критической уязвимости в ядре двух ключевых продуктов компании SAP, которые используются для финансового планирования, консолидации отчётности и бизнес-аналитики. Речь идёт о системах SAP Business Planning and Consolidation (BPC) и SAP Business Warehouse (BW). Уязвимость, получившая идентификаторы BDU:2026-05447 и CVE-2026-27681, связана с недостаточной защитой от классической атаки - внедрения SQL-кода (SQL Injection). Её эксплуатация позволяет удалённому злоумышленнику, имеющему учётную запись пользователя в системе, не только читать конфиденциальные финансовые данные, но и изменять или удалять их. Учитывая, что SAP-системы являются цифровым хребтом финансовых процессов для огромного числа корпораций и государственных организаций по всему миру, эта проблема выходит за рамки обычного обновления безопасности и превращается в вопрос обеспечения целостности всей финансовой отчётности.
Детали уязвимости
Уязвимость затрагивает широкий спектр версий SAP Business Warehouse, от 750 до 758, а также версии 816, и две версии решения для планирования и консолидации: HANABPC 810 и BPC4HANA 300. Оценка по шкале CVSS 3.1 достигает максимального значения 9.9 из 10, что классифицирует её как критическую. Такой высочайший балл обусловлен сочетанием факторов: атака может быть проведена удалённо через сеть, требует лишь низких привилегий (уровня обычного пользователя), не нуждается во взаимодействии с пользователем и, что самое опасное, оказывает влияние на все компоненты системы. Проще говоря, получив доступ к одной учётной записи с минимальными правами, злоумышленник потенциально может захватить контроль над всей связанной инфраструктурой, модифицируя транзакции, отчётность и планы.
Техническая суть уязвимости кроется в ошибке класса CWE-89, которая формально означает "непринятие мер по защите структуры запроса SQL". На практике это выглядит так: приложение, формируя запрос к базе данных, некорректно обрабатывает вводимые пользователем данные. Вместо того чтобы рассматривать их как простые значения, система может принять часть ввода за исполняемую команду для СУБД. В результате злоумышленник, вводя специально сформированные данные в поля веб-интерфейса или другие точки ввода, может "обмануть" приложение и заставить его выполнить произвольный SQL-запрос. В контексте SAP BW и BPC это открывает прямой доступ к хранилищам, где лежат бюджеты, фактические показатели, данные управленческого учёта и прогнозы - то есть к самой ценной коммерческой информации компании.
Последствия успешной эксплуатации такой уязвимости выходят далеко за рамки простой утечки данных. Поскольку системы BPC напрямую завязаны на процессы закрытия периодов и подготовки отчётности для регуляторов и акционеров, их компрометация ставит под сомнение достоверность всей финансовой картины организации. Злоумышленник, будь то киберпреступник, нацеленный на программы-вымогатели, или инсайдер, может незаметно подтасовать цифры, что приведёт к принятию неверных стратегических решений, нарушению compliance-требований и колоссальным репутационным потерям. В сценарии атаки программ-вымогателей злоумышленники могут не просто зашифровать данные, а целенаправленно их исказить, сделав восстановление из резервных копий бессмысленным без предварительного "выкупа" ключа для расшифровки корректной информации.
Важно отметить, что уязвимость уже подтверждена производителем и, согласно данным Банка данных угроз (BDU), устранена. Компания SAP выпустила соответствующие исправления, опубликованные в ежемесячном пакете обновлений безопасности за апрель 2026 года. Однако сам факт появления столь серьёзной ошибки в столь зрелых и критически важных корпоративных продуктах служит жёстким напоминанием для всех специалистов по информационной безопасности. Он подчёркивает, что даже в сложных, многоуровневых ERP- и BI-системах базовые ошибки веб-безопасности, известные десятилетиями, остаются актуальной угрозой. Основной мерой защиты является незамедлительное применение патчей от вендора. Кроме того, данный инцидент косвенно указывает на необходимость усиления мер сегрегации сетей, мониторинга аномальной активности в базах данных с помощью систем класса SIEM (Security Information and Event Management - система управления событиями и информацией безопасности) и регулярного проведения пентестов, целенаправленно проверяющих бизнес-приложения на подобные уязвимости. В современном цифровом ландшафте финансовая прозрачность и безопасность данных стали неразделимы, и уязвимости подобного масштаба ставят под удар сам фундамент доверия к корпоративной отчётности.
Ссылки
- https://bdu.fstec.ru/vul/2026-05447
- https://www.cve.org/CVERecord?id=CVE-2026-27681
- https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2026.html
