Специалисты компании SecurityBridge сообщили об активной эксплуатации критической уязвимости в SAP S/4HANA, получившей идентификатор CVE-2025-42957. Уязвимость имеет максимально высокий уровень опасности с оценкой 9,9 по шкале CVSS и позволяет злоумышленникам получить полный контроль над корпоративной системой.
Детали уязвимости
Проблема затрагивает все релизы SAP S/4HANA, развернутые в локальных инфраструктурах и частных облачных средах. Для организаций, использующих эти системы, необходимо немедленное применение патчей, выпущенных разработчиком, чтобы предотвратить полный захват контроля над критической бизнес-инфраструктурой.
Исследователи из SecurityBridge Threat Research Labs обнаружили данную уязвимость в ходе планового тестирования безопасности и уведомили SAP о проблеме 27 июня 2025 года. Компания SAP выпустила исправление в рамках ежемесячного обновления безопасности 11 августа 2025 года. Однако, как подтвердили эксперты, уязвимость уже используется в реальных атаках, что означает сохраняющийся высокий риск для непропатченных систем.
Для эксплуатации CVE-2025-42957 злоумышленнику требуется только учетная запись пользователя SAP с доступом к уязвимому модулю RFC и объекту авторизации S_DMIS с активностью 02. Никакого дополнительного взаимодействия с пользователем, например перехода по вредоносной ссылке, не требуется. После успешной эксплуатации уязвимости злоумышленник может выполнять произвольный ABAP-код на уровне приложения SAP, читать, изменять или удалять любые данные в базе данных SAP, создавать новых пользователей с полными административными правами, получать хэши паролей всех учетных записей SAP, а также изменять или отключать критически важные бизнес-процессы.
Простота эксплуатации и сетевая природа данной уязвимости делают ее чрезвычайно опасной. Злоумышленник может начать атаку, имея базовые учетные данные, полученные через фишинг или в результате действий инсайдера, и быстро повысить привилегии для захвата всей среды SAP. После этого возможны манипуляции с финансовой отчетностью, кража конфиденциальных данных клиентов или развертывание программ-вымогателей на серверах компании.
На текущий момент массовых глобальных кампаний с использованием данной уязвимости не зафиксировано, однако целевые атаки уже подтверждены. Эксперты предупреждают, что реверс-инжиниринг патча SAP относительно прост из-за открытой и видимой природы ABAP-кода. Эта легкость создания эксплойтов подчеркивает срочность применения обновлений.
Для снижения рисков клиентам SAP рекомендуется безотлагательно применить исправления SAP 3627998 и 3633838, провести аудит и ограничить использование объекта авторизации S_DMIS, а также ограничить вызовы RFC. Необходимо мониторить журналы системы на предмет необычных RFC-запросов или создания новых административных учетных записей, обеспечить сетевое разделение и поддерживать актуальные резервные копии. Дополнительно рекомендуется рассмотреть внедрение SAP UCON для усиления контроля доступа.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-42957
- https://me.sap.com/notes/3627998
- https://url.sap/sapsecuritypatchday
