В Банке данных угроз безопасности информации (BDU) появилась новая запись под номером BDU:2026-01625, которая описывает чрезвычайно опасную уязвимость в ключевых бизнес-продуктах компании SAP. Речь идет о системе управления взаимоотношениями с клиентами SAP CRM и флагманской программной платформе SAP S/4HANA. Эксперты оценивают эту брешь как критическую, поскольку она позволяет удаленному злоумышленнику выполнить произвольный код и получить полный несанкционированный доступ к базе данных.
Детали уязвимости
Суть проблемы кроется в недостатках процедуры авторизации в инструменте создания сценариев веб-клиента. Конкретно, уязвимость классифицируется как "Отсутствие авторизации" (CWE-862). На практике это означает, что атакующий, уже имеющий учетную запись с минимальными привилегиями в системе, может отправить специально сформированный SQL-запрос. В результате он способен обойти механизмы проверки прав и выполнить вредоносные команды непосредственно на сервере.
Масштаб потенциального воздействия огромен. Во-первых, уязвимость затрагивает огромное количество версий ПО. В список подверженных риску попали SAP CRM, включая версии от S4FND 102 до 109, а также сборки 700, 701, 730, 731 и с 746 по 801. Аналогичный широкий спектр версий затронут и в SAP S/4HANA. Во-вторых, оценка по системе CVSS 3.1 достигает максимального значения 9.9 из 10, что автоматически присваивает уязвимости критический уровень опасности. Высокий балл обусловлен тем, что для атаки не требуется взаимодействие с пользователем, а последствия включают полную компрометацию конфиденциальности, целостности и доступности системы.
Успешная эксплуатация этой уязвимости открывает перед киберпреступниками или инсайдерами поистине безграничные возможности. Они могут похищать конфиденциальные бизнес-данные, финансовую информацию и персональные данные клиентов. Кроме того, злоумышленники получают возможность модифицировать или удалять критически важные данные, что способно парализовать работу компании. Наиболее опасным сценарием является установка вредоносного программного обеспечения, например, программ-вымогателей (ransomware), для шифрования данных с последующим требованием выкупа.
Производитель, компания SAP, уже подтвердил существование уязвимости и выпустил необходимые исправления. Соответственно, основной и наиболее эффективной мерой защиты является немедленное применение обновлений безопасности. Патчи доступны на официальном портале поддержки SAP в разделе Security Notes за февраль 2026 года. Однако в текущих геополитических условиях российским организациям рекомендуется с особой тщательностью оценивать риски, связанные с установкой любых зарубежных обновлений, учитывая потенциальные скрытые угрозы.
Тем временем, если немедленное обновление невозможно, эксперты по кибербезопасности настоятельно советуют реализовать комплекс компенсирующих мер. Ключевыми из них являются развертывание межсетевых экранов уровня веб-приложений, которые способны фильтровать и блокировать подозрительные SQL-запросы. Также критически важно ограничить доступ к интерфейсам SAP только доверенным IP-адресам по принципу "белого списка". Дополнительный уровень защиты обеспечат системы обнаружения и предотвращения вторжений, настроенные на выявление аномальной активности, связанной с попытками внедрения SQL-кода.
Не менее важны и организационные меры. Следует строго минимизировать привилегии пользовательских учетных записей, предоставляя доступ только к необходимым для работы функциям. Все неиспользуемые учетные записи должны быть незамедлительно отключены или удалены. Кроме того, необходимо рассмотреть возможность полного запрета доступа к системам SAP из сети Интернет, организовав подключение только через защищенные каналы, такие как виртуальные частные сети.
На момент публикации новости наличие работающих эксплойтов в открытом доступе не подтверждено. Однако учитывая критический характер уязвимости и ее широкую распространенность, появление инструментов для автоматической эксплуатации в ближайшее время является крайне вероятным. Следовательно, у компаний, использующих SAP CRM и S/4HANA, есть очень ограниченное окно для того, чтобы принять защитные меры и предотвратить потенциально катастрофический инцидент информационной безопасности. Эта ситуация в очередной раз подчеркивает важность своевременного мониторинга источников, таких как BDU, и оперативного применения исправлений для критически важного бизнес-ПО.
Ссылки
- https://bdu.fstec.ru/vul/2026-01625
- https://www.cve.org/CVERecord?id=CVE-2026-0488
- https://support.sap.com/en/my-support/knowledge-base/security-notes-news/february-2026.html
