В мире корпоративного программного обеспечения регулярное обновление систем - это не просто рекомендация, а обязательная процедура, от которой зависит безопасность ключевых бизнес-процессов. Особенно это касается продуктов SAP, которые лежат в основе финансовых, логистических и управленческих операций тысяч компаний по всему миру. Ежемесячный «День патчей безопасности» от немецкого гиганта - это своеобразный барометр актуальных угроз для корпоративного сектора. Мартовские обновления 2026 года, выпущенные 10 числа, подтвердили серьёзность ситуации: среди пятнадцати новых уязвимостей обнаружены критические, позволяющие злоумышленникам захватить полный контроль над системой.
Детали уязвимостей
Пятнадцать новых документов с описанием проблем безопасности были опубликованы без обновлений для предыдущих исправлений. Это означает, что основное внимание специалистов по информационной безопасности (ИБ) должно быть сосредоточено на новых рисках. Наиболее тревожным является исправление уязвимости критического уровня в приложении SAP Quotation Management Insurance (FS-QUO), получившей идентификатор CVE-2019-17571. Её максимальная оценка по шкале CVSS составляет 9.8 баллов из 10. Данная уязвимость классифицируется как внедрение кода и позволяет неавторизованным злоумышленникам выполнять произвольные команды на сервере через сеть, что приводит к удалённому выполнению кода (RCE). Проще говоря, атакующий, эксплуатируя эту ошибку, может получить такой же уровень доступа к системе, как и легитимный администратор, со всеми вытекающими катастрофическими последствиями: от хищения конфиденциальных данных до остановки бизнес-процессов.
Второй критической проблемой стала уязвимость небезопасной десериализации в компоненте администрирования портала SAP NetWeaver Enterprise Portal (CVE-2026-27685). Её оценка CVSS составляет 9.1 балла. В отличие от первой, для её использования атакующему необходимы высокие привилегии в системе. Однако, если злоумышленник уже получил такие права или найдёт способ их эскалации, эксплуатация этой уязвимости позволит ему напрямую повлиять на конфиденциальность, целостность и доступность всей системы. Десериализация - это процесс преобразования данных из формата, удобного для хранения или передачи, обратно в объекты программы. Ошибки в этой логике - излюбленная мишень для киберпреступников, так как они часто ведут к выполнению вредоносного кода.
Помимо критических, были устранены риски высокой и средней степени серьёзности. Высокую опасность представляет уязвимость, ведущая к отказу в обслуживании (DoS), в SAP Supply Chain Management (CVE-2026-27689, CVSS 7.7). Её эксплуатация может привести к нарушению критически важных операций цепочки поставок, что чревато прямыми финансовыми потерями и репутационным ущербом.
Среди двенадцати уязвимостей средней тяжести эксперты выделяют несколько особенно показательных. Во-первых, это подделка межсайтовых запросов (SSRF) в SAP NetWeaver AS для ABAP (CVE-2026-24316), которая может позволить атакующему обойти механизмы защиты и выполнять запросы от имени сервера к внутренним ресурсам. Во-вторых, классическая инъекция SQL в компоненте Feedback Notification того же NetWeaver (CVE-2026-27684), угрожающая целостности баз данных. В-третьих, межсайтовый скриптинг на стороне клиента (DOM-based XSS) в SAP Business One (CVE-2026-0489), способный привести к краже сессий пользователей. Также исправлены несколько ошибок, связанных с отсутствием проверки авторизации в SAP Business Warehouse, S/4HANA HCM и NetWeaver AS для ABAP, что открывает путь к несанкционированным действиям.
Каковы же практические последствия для компаний? Игнорирование мартовских обновлений SAP равносильно осознанному оставлению открытой двери в ядро IT-инфраструктуры. Уязвимости уровня RCE, такие как CVE-2019-17571, являются приоритетными целями для современных группировок, специализирующихся на целевых атаках (APT). Они могут быть использованы как для шпионажа, так и для подготовки масштабных разрушительных кибератак. Даже уязвимости средней тяжести часто служат трамплином для движения по цепочке взлома, позволяя злоумышленнику от первоначального проникновения добраться до ценных активов.
В свете этого рекомендации SAP звучат максимально жёстко и однозначно. Компаниям необходимо немедленно расставить приоритеты. В первую очередь должны быть установлены патчи, закрывающие критические уязвимости с оценкой CVSS 9.0 и выше, чтобы исключить риск удалённого выполнения кода. Системным администраторам следует незамедлительно обратиться на портал поддержки SAP для изучения полного списка документов безопасности и определения затронутых версий продуктов в их ландшафте. Однако установка обновлений - это лишь часть стратегии. Не менее важно обеспечить постоянное соблюдение безопасных практик конфигурации всех развёртываний SAP, что позволяет минимизировать поверхность атаки даже между циклами патчинга. В конечном итоге, регулярное и своевременное применение исправлений в рамках структурированного процесса управления обновлениями остаётся краеугольным камнем защиты сложных корпоративных сред от всё более изощрённых киберугроз.
Ссылки
- https://support.sap.com/en/my-support/knowledge-base/security-notes-news/march-2026.html
- https://www.cve.org/CVERecord?id=CVE-2019-17571
- https://www.cve.org/CVERecord?id=CVE-2026-27685
- https://www.cve.org/CVERecord?id=CVE-2026-27689
- https://www.cve.org/CVERecord?id=CVE-2026-24316
- https://www.cve.org/CVERecord?id=CVE-2026-27684
- https://www.cve.org/CVERecord?id=CVE-2026-0489
