Эксперты по кибербезопасности подтвердили наличие критической уязвимости в популярной корпоративной платформе SAP S/4HANA. Уязвимость, зарегистрированная в Банке данных угроз (BDU) под идентификатором BDU:2026-00368, связана с недостаточной защитой от атак типа SQL-инъекция (SQL Injection). Соответственно, злоумышленник может получить несанкционированный доступ к конфиденциальной информации, отправляя специально сформированные запросы к базе данных. Производитель, компания SAP SE, уже подтвердил проблему и выпустил необходимые патчи.
Детали уязвимости
Данная уязвимость затрагивает множество версий ядра S4CORE платформы SAP S/4HANA, от 102 до 109. Поскольку S/4HANA является флагманским решением для управления бизнес-процессами, её используют тысячи крупных компаний по всему миру для работы с финансовыми данными, логистикой и цепочками поставок. Следовательно, потенциальный масштаб инцидента безопасности крайне велик. Уязвимость классифицирована как CWE-89, что прямо указывает на недостаточную проверку пользовательского ввода перед формированием SQL-запросов.
Уровень опасности оценивается как критический. Например, базовая оценка по методологии CVSS 3.1 достигает 9.9 баллов из 10. Эта оценка означает, что для эксплуатации уязвимости атакующему достаточно иметь права обычного зарегистрированного пользователя (PR:L), не требуется взаимодействие с жертвой (UI:N), а сама атака может проводиться удаленно через сеть (AV:N). Более того, потенциальный ущерб включает полную компрометацию конфиденциальности, целостности и доступности данных (C:H/I:H/A:H). Таким образом, успешная атака может привести к утечке критически важной бизнес-информации, её подмене или полной блокировке работы системы.
Основным и самым надежным способом устранения угрозы является немедленная установка официального обновления от вендора. Соответствующие патчи были опубликованы SAP в рамках ежемесячных обновлений безопасности за январь 2026 года. Однако в текущих геополитических условиях российским организациям рекомендуется проявлять повышенную осторожность. В частности, перед установкой любых обновлений из-за рубежа необходимо провести тщательную оценку всех сопутствующих рисков, включая потенциальные скрытые угрозы.
Если немедленное обновление невозможно, специалисты рекомендуют внедрить ряд компенсирующих мер контроля. Во-первых, необходимо строго ограничить удаленный доступ к интерфейсам уязвимого ПО с помощью межсетевых экранов. Во-вторых, поможет сегментация сети, изолирующая системы SAP от других сегментов и интернета. Кроме того, для организации безопасного удаленного доступа стоит использовать виртуальные частные сети (VPN). Также крайне важно минимизировать привилегии пользовательских учетных записей и отключить все неиспользуемые аккаунты.
Для мониторинга и обнаружения аномальной активности рекомендуется задействовать системы класса SIEM. Эти системы способны отслеживать и анализировать события, связанные с выполнением нестандартных SQL-запросов, что может помочь в выявлении попыток эксплуатации уязвимости на ранней стадии. Важно понимать, что эти меры не устраняют уязвимость, но существенно усложняют жизнь злоумышленникам.
На текущий момент публичная информация о существовании готовых эксплойтов для данной уязвимости отсутствует, данные уточняются. Тем не менее, учитывая критический уровень угрозы и широкую распространенность целевой платформы, появление таких инструментов в ближайшее время весьма вероятно. Обычно уязвимости такого класса активно используются как в целенаправленных атаках продвинутых группировок, так и в массовых автоматизированных кампаниях.
В заключение, данная уязвимость в SAP S/4HANA представляет собой серьезную угрозу для корпоративной безопасности. Поэтому администраторам и специалистам по информационной безопасности необходимо безотлагательно предпринять действия по защите инфраструктуры. Приоритетом должно стать применение официального исправления после оценки рисков. Параллельно следует усилить мониторинг сетевой активности и проверить конфигурации систем доступа. Игнорирование этой проблемы может привести к тяжелым последствиям, включая финансовые потери и репутационный ущерб.
Ссылки
- https://bdu.fstec.ru/vul/2026-00368
- https://www.cve.org/CVERecord?id=CVE-2026-0501
- https://support.sap.com/en/my-support/knowledge-base/security-notes-news/january-2026.html
