SAP нашла опасные уязвимости: сильная угроза для корпоративных систем

Компания SAP сообщила о выявлении более двух десятков новых уязвимостей в своих продуктах, включая одну с максимальной степенью критичности — 10 из 10. Наиболее опасная из них обнаружена в платформе NetWeaver, которая служит технической основой для большинства корпоративных приложений SAP. Уязвимость под названием CVE-2025-42944 позволяет атакующим, не имеющим авторизации, выполнять произвольные команды, отправляя вредоносные данные на открытый порт.

Описание уязвимости и механизм её действия

Данная уязвимость связана с процессом десериализации — обратной процедуре, при которой данные, хранящиеся в определённой форме, восстанавливаются в исходные структуры. В данном случае это создаёт возможность для злоумышленников получить доступ к системе и выполнить произвольный код. В дополнение к уязвимости с максимальной критичностью, SAP сообщила о трёх других высококритичных проблемах в NetWeaver, оценённых в 9.9, 9.6 и 9.1.

Активное использование уязвимости

Информация о новых уязвимостях стала известна публично спустя пять дней после того, как SecurityBridge сообщила о том, что другая уязвимость, CVE-2025-42957, уже используется в атаках. Эта проблема, оценённая в 9.9, влияет на ERP-систему SAP S/4HANA, разработанную для управления сложными бизнес-процессами, такими как финансы, бухгалтерия и кадры.

Угрозы и условия атаки

Согласно отчёту SecurityBridge, уязвимость CVE-2025-42957 позволяет злоумышленникам с минимальными правами на систему захватить её полностью. Атакующему не требуется взаимодействие с пользователем, а сложность атаки низкая, поскольку она может быть проведена через сеть. Таким образом, CVSS-оценка составила 9.9. В результате возможны мошенничество, кража данных, шпионская деятельность или установка шифровальщиков.

Предупреждения SAP

SAP предупредила, что данная уязвимость действует как бэкдор, позволяющий получить несанкционированный доступ к системам и угрожающий их конфиденциальности, целостности и доступности. Компания подчеркнула, что без срочных мер по защите системы SAP S/4HANA могут быть серьёзно нарушены. В сообщении не упоминается, что уязвимость уже используется на практике.

Другие уязвимости и продукты SAP

Во вторник SAP сообщила также о выявлении уязвимостей в ряде других продуктов, включая: SAP Business One, SAP Landscape Transformation Replication Server, SAP Commerce Cloud, SAP Datahub, SAP Business Planning and Consolidation, SAP HCM, SAP BusinessObjects Business Intelligence Platform, SAP Supplier Relationship Management, и Fiori. Оценки критичности этих уязвимостей варьируются от 3.1 до 8.8.

Рекомендации по защите

Все уязвимости, особенно с высокой степенью критичности, требуют немедленного устранения. Дополнительную информацию компания разместила на своей странице безопасности.

«Ворота в корпоративный мир»: как уязвимости в SAP раскрывают системные слабости цифровой инфраструктуры

Компания SAP, одна из ключевых разработчиков корпоративных систем, обнаружила уязвимости в нескольких своих продуктах, включая критическую уязвимость в платформе NetWeaver — основной технической составляющей большинства её решений. Уязвимость CVE-2025-42944 позволяет злоумышленникам с нулевым уровнем доступа выполнять произвольный код, просто отправляя вредоносные данные на открытый порт. Это означает, что даже без взлома учётных записей или сложных методов проникновения атакующий может получить контроль над системой. Другие уязвимости, включая CVE-2025-42957 в ERP-системе SAP S/4HANA, уже используются в атаках, что делает ситуацию ещё более острой.

Цепная реакция: как одно слабое звено влияет на всю структуру

Десериализация данных — технический процесс, лежащий в основе многих систем — оказалась уязвимой. В данном случае это привело к возможности несанкционированного доступа. Но важнее другое: SAP — это не просто набор программ. Это экосистема, на которой работает множество крупных организаций по всему миру. В России, где SAP-решения используются в государственных и корпоративных системах, уязвимость может стать дверью для внешних атак, шпионской деятельности или финансового мошенничества. Уязвимость в S/4HANA, например, позволяет злоумышленнику получить полный контроль над ERP-системой, включая финансовые и кадровые данные. Это не просто техническая проблема — это угроза целостности бизнес-процессов, которые не всегда защищены на глубине.

Стратегия защиты: кто, зачем и как действует

SAP неоднократно подчеркивает необходимость срочных мер по устранению уязвимостей. Это не случайное предостережение — компания заинтересована в сохранении доверия пользователей. Однако её действия также показывают, что даже крупные вендоры не всегда могут предугадать, как будут использоваться их продукты. Уязвимость CVE-2025-42957 уже применяется в атаках, что говорит о том, что злоумышленники опередили защиту. Это создает парадокс: система, разработанная для повышения эффективности и безопасности бизнеса, может стать инструментом её нарушения. При этом, как показывает практика, именно те организации, которые не уделяют достаточного внимания обновлениям и мониторингу, становятся главной мишенью.

Долгосрочные последствия и уроки для будущего

Ситуация с уязвимостями в SAP поднимает важный вопрос: насколько безопасна зависимость от внешнего ПО? Когда даже ведущие разработчики допускают критические ошибки, это ставит под сомнение стабильность всей цифровой инфраструктуры. Для России, где внедрение отечественных решений становится приоритетом, это событие может стать катализатором ускорения перехода на отечественные платформы. Но даже в этом случае важно помнить: уязвимость в одной точке может повредить всей системе. Поэтому критически важно не только своевременно обновлять системы, но и создавать барьеры на других уровнях — от архитектуры до политики безопасности.

Что важно помнить:

• Уязвимости в корпоративных системах могут быть использованы даже без сложных методов взлома.
• ERP-системы, такие как S/4HANA, становятся мишенью, потому что в них сосредоточены ключевые данные.
• Важно не только реагировать на уязвимости, но и пересматривать подходы к безопасности на уровне архитектуры.
• Долгосрочная стратегия цифровой безопасности требует снижения зависимости от внешнего ПО и развития собственных решений.