Când discutăm despre sisteme ERP critice, vulnerabilitățile nu sunt doar linii de cod; ele pot deschide porți către întregi organizații. Un defect de injecție de cod în SAP S/4HANA, identificat ca CVE-2025-42957, permite utilizatorilor autentificați cu privilegii reduse să insereze cod ABAP arbitrar, să ocolească controalele de autorizare și să preia controlul complet asupra sistemelor afectate.
SAP a remediat problema pe 11 august 2025, clasificând-o ca fiind critică, cu scor CVSS 9.9. Totuși, patch-ul nu a fost aplicat pe toate instalările, iar sistemele neactualizate sunt acum ținta atacurilor active. Firma de securitate SecurityBridge, care a descoperit vulnerabilitatea și a raportat-o responsabil către SAP pe 27 iunie 2025, a confirmat existența exploatărilor în natură, chiar dacă momentan nu sunt pe scară largă. SecurityBridge a contribuit la dezvoltarea corecției, dar componenta ABAP, fiind deschisă, permite unui atacator priceput să realizeze cu relativă ușurință ingineria inversă a patch-ului și să transforme rapid fixul într-un exploit funcțional.
Riscurile legate de CVE-2025-42957 sunt semnificative: furt sau alterare de date, injectare de cod, escaladare de privilegii prin crearea de conturi backdoor, compromiterea acreditărilor și perturbări operaționale prin malware sau ransomware. SecurityBridge a publicat și un clip demonstrativ care arată cum poate fi folosit bug-ul pentru a executa comenzi de sistem pe serverele SAP, materiale utile pentru administratori, dar care pot servi și drept ghid pentru atacatori dacă nu sunt acompaniate de remedieri rapide.
Produsele și versiunile afectate includ diverse implementări S/4HANA (Private Cloud sau On-Premise) cu S4CORE 102–108, module din Landscape Transformation (DMIS, mai multe versiuni), Business One pe HANA (B1_ON_HANA 10.0), precum și anumite versiuni NetWeaver Application Server ABAP și module BIC/SEM-BW. SAP a emis un bulletin cu recomandări, disponibil clienților înregistrați, care detaliază pașii de remediere. Administratorii SAP care nu au aplicat actualizările Patch Day din august 2025 ar trebui să le instaleze cât mai curând pentru a reduce ferestrele de expunere.
Raportul SecurityBridge și observațiile din teren reconfirmă o lecție cunoscută: chiar și corecțiile publicate pot deveni manuale pentru atacatori dacă nu sunt implementate rapid. Din acest motiv, monitorizarea, aplicarea promptă a patch-urilor și auditul accesului pentru utilizatorii cu privilegii reduse rămân esențiale. Pentru organizațiile care utilizează S/4HANA, este crucial să verifice versiunile menționate (S4CORE 102–108, DMIS 2011_1_xxx, B1_ON_HANA 10.0, S4COREOP 104–108, SEM-BW 600–748) și să urmeze indicațiile din bulletinul oficial.
CVE-2025-42957 ilustrează cât de expuse pot fi infrastructurile critice atunci când componentele vizibile sunt ușor de analizat. Un exemplu concret: patch-ul din 11 august 2025, versiunile afectate S4CORE 102–108 și demonstrația video publicată de SecurityBridge. Actualizările și controlul strict al accesului rămân măsuri imediate și eficiente pentru diminuarea riscului. Ce acțiune concretă poți verifica astăzi în mediul tău SAP pentru a te asigura că nu ești vulnerabil?
uff, iarasi patch day care devine manual pt atacatori… verificați rapid S4CORE 102–108 si B1_ON_HANA 10.0 daca n-ati făcut deja, si audit la orice user cu rol custom, chiar si cele cu low privs — multe brese vin de la conturi uitate.
da, clipul demo e util pt admini dar si periculos, deci download local pt analiza numai in mediu izolat. puneți logging centralizat + alertare pe modificari ABAP si executii neobișnuite, si blocați uploadul de cod din interfete neesențiale.
nu e paranoia, e practică; eu aș prioritiza lista de sisteme expuse si un rollback plan in caz ca patch-ul strică ceva, ca sa nu rămâneți cu sistem down in timp ce-l aplicați.