В системе управления реляционными базами данных SAP SQL Anywhere обнаружена критическая уязвимость, связанная с использованием жестко запрограммированных учетных данных в инструменте администрирования SQL Anywhere Monitor. Об этом свидетельствуют данные бюллетеня BDU:2025-14425, опубликованного 11 ноября 2025 года.
Детали уязвимости
Уязвимость, получившая идентификатор CVE-2025-42890, классифицируется как ошибка архитектурного типа CWE-798 (жесткое кодирование регистрационных данных). Она затрагивает версию 17.0 программного обеспечения SAP SQL Anywhere, которое представляет собой систему управления базами данных (СУБД). Производитель SAP SE уже подтвердил наличие данной проблемы безопасности.
Главная опасность заключается в том, что злоумышленник, действующий удаленно, может получить полный контроль над защищаемой информацией. Соответственно, под угрозой оказываются все три ключевых аспекта информационной безопасности: конфиденциальность, целостность и доступность данных.
Эксперты по кибербезопасности присвоили уязвимости критический уровень опасности. В системе оценки CVSS 2.0 она получила максимальный балл 10.0 с вектором AV:N/AC:L/Au:N/C:C/I:C/A:C. Аналогично в CVSS 3.1 базовый показатель также составляет 10.0 с вектором AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Такие оценки означают, что для эксплуатации уязвимости не требуются специальные условия или привилегии, а потенциальный ущерб является максимальным.
Основной способ эксплуатации связан с нарушением механизмов аутентификации. Жестко запрограммированные учетные данные позволяют злоумышленникам обходить стандартные процедуры проверки подлинности. Следовательно, они могут получить несанкционированный доступ к мониторинговой системе и через нее - к управлению базами данных.
Производитель рекомендует немедленно обновить программное обеспечение. На официальном портале поддержки SAP опубликованы подробные рекомендации по устранению уязвимости. Примечательно, что компания уже выпустила необходимые патчи, что указывает на устранение проблемы в текущих версиях продукта.
Важно подчеркнуть, что уязвимость связана именно с инструментом мониторинга, а не с ядром самой СУБД. Тем не менее, поскольку SQL Anywhere Monitor предоставляет возможности удаленного администрирования, его компрометация создает серьезные риски для всей инфраструктуры баз данных.
Пока нет подтвержденной информации о существовании эксплойтов, использующих данную уязвимость. Однако учитывая критический характер проблемы и относительную простоту эксплуатации, специалисты рекомендуют принять меры как можно скорее. Особую осторожность следует проявлять организациям, использующим уязвимую версию в производственных средах.
Системные администраторы должны обратиться к официальной документации SAP для получения инструкций по обновлению. Дополнительно стоит рассмотреть возможность аудита систем на предмет несанкционированного доступа, поскольку уязвимость могла оставаться незамеченной в течение некоторого времени.
Данный случай демонстрирует классические риски, связанные с жестко запрограммированными учетными данными. Подобные практики разработки противоречат современным стандартам безопасности, таким как рекомендации NIST. Между тем, они периодически встречаются даже в продуктах крупных вендоров.
Кибербезопасность корпоративных систем продолжает оставаться зоной повышенного внимания. Обнаружение уязвимости в продукте SAP - компании с многолетней репутацией на рынке корпоративного программного обеспечения - лишний раз подтверждает необходимость постоянного мониторинга и своевременного обновления критически важных компонентов инфраструктуры.
Отраслевые эксперты советуют организациям, использующим SAP SQL Anywhere, немедленно проверить версию своего программного обеспечения и при необходимости установить обновления безопасности. Кроме того, рекомендуется пересмотреть практики управления доступом к системам мониторинга баз данных и усилить контроль за подозрительной активностью в сети.
Ссылки
- https://bdu.fstec.ru/vul/2025-14425
- https://www.cve.org/CVERecord?id=CVE-2025-42890
- https://support.sap.com/en/my-support/knowledge-base/security-notes-news/november-2025.html
- https://me.sap.com/notes/3666261
