Реестр Банка данных угроз безопасности информации (BDU) зафиксировал две опасные уязвимости в продуктах немецкого гиганта SAP. Речь идёт о программных интеграционных платформах SAP NetWeaver AS ABAP и SAP ABAP Platform. Эти системы используются в тысячах компаний по всему миру. Они отвечают за бизнес-логику, управление ресурсами и обмен данными. Поэтому найденные бреши способны парализовать работу целых корпораций.
Детали уязвимостей
Первая уязвимость имеет идентификатор BDU:2026-08446, а также CVE-2026-44748. Её суть - ошибка в проверке криптографической подписи в SAML-аутентификации. SAML - это открытый протокол, который позволяет обмениваться данными об аутентификации и авторизации между различными системами. Проще говоря, именно с его помощью одно корпоративное приложение "доверяет" другому, что пользователь уже вошёл в систему. Если механизм подписи работает некорректно, злоумышленник может подменить XML-данные, которые передаются при подтверждении личности. В результате нарушитель, действующий удалённо, способен либо получить несанкционированный доступ к защищаемой информации, либо вызвать отказ в обслуживании. Компании SAP подтвердила этот дефект. Разработчик уже выпустил исправления, которые доступны в специальном бюллетене безопасности за июнь 2026 года.
Вторая уязвимость (BDU:2026-08447, CVE-2026-27671) ещё серьёзнее. Она касается ядра SAP - того самого модуля, который управляет памятью, процессами и базовыми операциями. Ошибка классифицируется как переполнение буфера в стеке (CWE-121). Это типичная проблема для кода, написанного на низкоуровневых языках. Когда программа копирует данные в область памяти строго ограниченного размера, она не проверяет, что длина входных данных превышает ёмкость буфера. Излишек "выплёскивается" в соседние области оперативной памяти. Атакующий может сформировать специальный RFC-запрос. RFC - это стандартный механизм, с помощью которого программы на платформе SAP общаются друг с другом. Отправляя такой запрос, нарушитель заставляет ядро выйти за границы дозволенного. Это позволяет ему перезаписать служебные данные, а значит - повлиять на конфиденциальность, целостность и доступность системы. Иными словами, злоумышленник может похитить данные, изменить их или полностью остановить работу сервера.
Чем опасны обе бреши? Оценки по шкале CVSS говорят сами за себя. Для первой уязвимости базовый балл CVSS 3.1 составляет 9,9 из 10 - это критический уровень. Вектор атаки - сеть, сложность эксплуатации низкая, для атаки требуются только учётные данные пользователя с минимальными правами. Вторая уязвимость оценена в 9,8 балла. Здесь для успешной атаки даже не нужна аутентификация. Нарушитель может работать полностью анонимно. Оба случая подразумевают полную компрометацию системы. Это делает их приоритетными для всех администраторов SAP.
Какие версии оказались под ударом? Список включает очень широкий диапазон платформ. Это SAP NetWeaver AS ABAP с базовыми версиями SAP_BASIS от 702 до 919, а также SAP ABAP Platform с теми же номерами. Вторая уязвимость затрагивает ядро системы с метками 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.18 и 91.9. Как видно, атаковать можно как относительно старые сборки, так и свежие релизы. Производитель уже выпустил исправления для всех перечисленных версий. Ссылка на официальный бюллетень прилагается в сообщении об уязвимости.
Теперь немного о контексте. SAP - один из крупнейших в мире разработчиков корпоративного программного обеспечения. Его продукты обрабатывают финансовые транзакции, управляют цепочками поставок, ведут учёт персонала. Любая брешь в SAP - это не просто технический инцидент. Это прямой риск для бизнеса. Утечка коммерческой тайны, остановка конвейера, срыв контрактов - все эти последствия реальны. Поэтому специалистам по информационной безопасности необходимо безотлагательно проверить свои системы на наличие уязвимых версий. В первую очередь следует обновить ядро и модули аутентификации до последних патчей.
Пока данных о готовых эксплойтах в открытом доступе нет - статус указан как "уточняется". Однако это не повод медлить. Практика показывает: как только о критической уязвимости узнаёт широкий круг специалистов, злоумышленники быстро создают рабочие сценарии атаки. В случае с дефектом SAML подмена XML-данных - техника, которая давно известна. Переполнение буфера в стеке тоже активно эксплуатируется в других продуктах. Так что вероятность скорого появления вредоносных инструментов высока.
Рекомендация одна, но крайне насущная: установить обновления, опубликованные SAP в патче. На официальной странице поддержки компании уже размещены инструкции и файлы. Процесс обновления для таких сложных систем, как SAP, обычно требует тестирования на стендах. Но учитывая критический уровень угрозы, проверки стоит провести максимально быстро. Также полезно усилить мониторинг сетевого трафика на предмет аномальных RFC-запросов и подозрительных XML-сообщений. Это позволит выявить попытки эксплуатации до того, как они приведут к серьёзным последствиям.
Две новые уязвимости SAP - серьёзный звонок для всех, кто отвечает за корпоративную инфраструктуру. Они напоминают: даже самые зрелые и защищённые системы могут содержать фатальные ошибки. И только своевременное обновление способно перекрыть путь злоумышленникам.
Ссылки
- https://bdu.fstec.ru/vul/2026-08446
- https://bdu.fstec.ru/vul/2026-08447
- https://www.cve.org/CVERecord?id=CVE-2026-44748
- https://www.cve.org/CVERecord?id=CVE-2026-27671
- https://support.sap.com/en/my-support/knowledge-base/security-notes-news/june-2026.html
- https://tozenlabs.com/blog/sap-patch-day-june-2026-saml-authentication-bypass-cve-2026-44748
