Czym jest SAP Security Patch Day?
SAP Security Patch Day to comiesięczne wydanie not bezpieczeństwa i poprawek przez firmę SAP. Odbywa się to zawsze w drugi wtorek miesiąca – tym razem 13 maja 2025 r. Jest to kluczowy element cyklu utrzymania bezpieczeństwa systemów SAP, który pozwala organizacjom systematycznie zabezpieczać swoje środowiska przed nowymi, zidentyfikowanymi lukami.
Regularne wdrażanie tych poprawek jest absolutnie niezbędne dla zachowania bezpieczeństwa infrastruktury SAP – podobnie jak regularne szczepienia chronią przed chorobami, tak poprawki bezpieczeństwa chronią systemy przed coraz bardziej wyrafinowanymi atakami.
Najpoważniejsze zagrożenia z maja 2025
W majowym pakiecie poprawek SAP opublikował aż 18 not bezpieczeństwa, z których kilka zasługuje na szczególną uwagę ze względu na wysoki wskaźnik CVSS (Common Vulnerability Scoring System) oraz potencjalny wpływ na biznes:
1. Brak kontroli autoryzacji w SAP NetWeaver (CVE-2025-31324)
Z maksymalną oceną CVSS 10.0, ta podatność pozwala nieuwierzytelnionym atakującym na przesyłanie złośliwych plików wykonywalnych do komponentu SAP Visual Composer. Konsekwencje? Potencjalne przejęcie kontroli nad całym systemem, kradzież danych i zakłócenie procesów biznesowych. Mitygacją w celu rozwiązania podatności jest zastosowanie się do rekomendacji wynikających z noty SAP 3604119 – [CVE-2025-42999] Insecure Deserialization in SAP NetWeaver (Visual Composer development server) oraz 3593336 – Unfamiliar files found in SAP NetWeaver Java file system. Więcej na temat tej podatności również można przeczytać na naszym blogu znajdującym się pod tym linkiem: https://www.linkedin.com/pulse/bezpieczny-wtorek-ze-snok-krytyczna-luka-cve-2025-31324-w-sap-netweaver-bq5ef/?trackingId=B8DFbEqb7azAgqRbU6KrLw%3D%3D
2. Niebezpieczna deserializacja w SAP NetWeaver (CVE-2025-42999)
Z oceną CVSS 9.1, ta luka umożliwia zaawansowane ataki na komponent Visual Composer, które mogą prowadzić do wykonania złośliwego kodu i potencjalnie do pełnego przejęcia kontroli nad systemem. Rozwiązaniem na pozbycie się podatności jest zastosowanie się do not SAP 3604119 – [CVE-2025-42999] Insecure Deserialization in SAP NetWeaver (Visual Composer development server) oraz 3593336 – Unfamiliar files found in SAP NetWeaver Java file system
3. Wstrzykiwanie kodu w SAP S/4HANA Cloud (CVE-2025-43010)
Ta podatność (CVSS 8.3) pozwala uwierzytelnionym atakującym na zdalne wykonanie funkcji i zastąpienie programów ABAP, co może drastycznie zakłócić integralność i dostępność systemu. W celu mitygacji błędu należy zainstalować wymagane przez note SAP 3600859 – [CVE-2025-43010] Code injection vulnerability in SAP S/4HANA Cloud Private Edition or On Premise(SCM Master Data Layer (MDL)) korekcje instrukcji.
4. Liczne podatności w SAP SRM (CVE-2025-30018)
Pakiet pięciu różnych luk (najwyższa ocena CVSS 8.6) w komponencie Live Auction Cockpit, umożliwiających m.in. ataki XXE, XSS i przekierowania typu Open Redirect. Aby wyeliminować podatność z systemu należy zastosować się do not SAP 3578900 – [CVE-2025-30018] Multiple vulnerabilities in SAP Supplier Relationship Management (Live Auction Cockpit), 2369341 – New
Live Auction application – DHTML Technology oraz 2171391 – EHP4 for SAP SRM 7.0 SP stacks – Release & Information Note
Pełna lista not bezpieczeństwa z maja 2025
Numer noty – Tytuł/Opis – CVSS Score – Wpływ na system – Rekomendacja dla klientów SAP
3594142 – [CVE-2025-31324] Missing Authorization check in SAP NetWeaver (Visual Composer development server) – 10.0 – Krytyczny wpływ na poufność, integralność i dostępność – Zabezpieczyć aplikację odpowiednimi wymogami uwierzytelniania i autoryzacji
3604119 – [CVE-2025-42999] Insecure Deserialization in SAP NetWeaver (Visual Composer development server) – 9.1 – Wysoki wpływ na poufność, integralność i dostępność – Usunąć deserializację i zintegrować z interfejsem skanowania wirusów AS Java
3578900 – [CVE-2025-30018] Multiple vulnerabilities in SAP Supplier Relationship Management (Live Auction Cockpit) – 8.6 – Wysoki wpływ na poufność, różny wpływ na integralność i dostępność – Przejść na nowszą wersję SRM używającą DHTML zamiast Java Applet
3600859 – [CVE-2025-43010] Code injection vulnerability in SAP S/4HANA Cloud Private Edition or On Premise (SCM Master Data Layer (MDL)) – 8.3 – Niski wpływ na poufność, wysoki wpływ na integralność i dostępność – Wyłączyć przestarzałą funkcję poprzez wdrożenie poprawki
3586013 – [CVE-2025-43000] Information Disclosure Vulnerability in SAP Business Objects Business Intelligence Platform (PMW) – 7.9 – Wysoki wpływ na poufność, niski wpływ na integralność i dostępność – Ograniczyć informacje niepotrzebne użytkownikom końcowym i zainstalować PMW na oddzielnym serwerze
3483344 – [CVE-2024-39592] Missing Authorization check in SAP PDCE – 7.7 – Duży wpływ na poufność, brak wpływu na integralność i dostępność – Dezaktywować dotknięte funkcje w celu ograniczenia dostępu
3591978 – [CVE-2025-43011] Missing Authorization Check in SAP Landscape Transformation (PCL Basis) – 7.7 – Duży wpływ na poufność, brak wpływu na integralność i dostępność – Rozszerzyć dotknięte funkcje o odpowiednie kontrole autoryzacji
3577300 – [CVE-2025-42997] Information Disclosure vulnerability in SAP Gateway Client – 6.6 – Niski wpływ na poufność, integralność i dostępność – Wdrożyć pakiet wsparcia lub odpowiednią instrukcję korekcyjną
3596033 – [CVE-2025-43003] Information Disclosure vulnerability in SAP S/4HANA (Private Cloud & On-Premise) – 6.4 – Duży wpływ na poufność, minimalny wpływ na integralność i dostępność – Usunąć kod używany do dostępu do poufnych danych
2719724 – [CVE-2025-43007] Missing Authorization check in SAP Service Parts Management (SPM) – 6.3 – Niski wpływ na poufność, integralność i dostępność – Wdrożyć nowe przełączalne kontrole autoryzacji
2491817 – [CVE-2025-43009] Missing Authorization check in SAP Service Parts Management (SPM) – 6.3 – Niski wpływ na poufność, integralność i dostępność – Wdrożyć nowe przełączalne kontrole autoryzacji
3577287 – [CVE-2025-31329] Information Disclosure vulnerability in SAP NetWeaver Application Server ABAP and ABAP Platform – 6.2 – Duży wpływ na poufność, brak wpływu na integralność i dostępność – Wdrożyć poprawkę implementującą walidację wartości wejściowych
3588455 – [CVE-2025-43006] Cross-Site Scripting (XSS) vulnerability in SAP Supplier Relationship Management (Master Data Management Catalog) – 6.1 – Niewielki wpływ na poufność i integralność, brak wpływu na dostępność – Wdrożyć poprawkę dodającą walidację URL, usuwającą niebezpieczne znaki i włączającą odpowiednie flagi bezpieczeństwa
3585992 – [CVE-2025-43008] Missing Authorization check in SAP S/4HANA HCM Portugal and SAP ERP HCM Portugal – 5.8 – Ujawnienie danych osobowych pracowników, brak wpływu na integralność i dostępność – Wdrożyć nowe przełączalne kontrole autoryzacji
3571096 – [CVE-2025-43004] Security Misconfiguration Vulnerability in SAP Digital Manufacturing (Production Operator Dashboard) – 5.3 – Wpływ na poufność, brak wpływu na integralność i dostępność – Wdrożyć nowy projekt eliminujący potrzebę hostowania kodu na zewnętrznym dzierżawcy SAP BTP
3558755 – [CVE-2025-26662] Cross-Site Scripting (XSS) vulnerability in the SAP Data Services Management Console – 4.4 – Wpływ na poufność i integralność, brak wpływu na dostępność – Wdrożyć poprawkę zapewniającą odpowiednie kodowanie parametrów
3574520 – [CVE-2025-43005] Information Disclosure vulnerability in SAP GUI for Windows – 4.3 – Wpływ na poufność danych, brak wpływu na integralność i dostępność – Zastosować poprawkę i używać bezpieczniejszych alternatyw uwierzytelniania (SSO/SNC)
3227940 – [CVE-2025-43002] Missing Authorization check in SAP S4/HANA (OData meta-data property) – 4.3 – Wpływ na poufność, brak wpływu na integralność i dostępność – Wdrożyć poprawkę implementującą sprawdzanie brakujących autoryzacji
Dlaczego szybkie wdrożenie poprawek jest kluczowe?
W dzisiejszym cyfrowym świecie przestępcy działają błyskawicznie. Często między publikacją podatności a pierwszymi próbami jej wykorzystania mijają zaledwie godziny, a nie dni czy tygodnie. Właśnie dlatego opóźnianie implementacji łatek bezpieczeństwa jest jak pozostawianie otwartych drzwi do sejfu Twojej firmy.
Konsekwencje ignorowania poprawek bezpieczeństwa mogą być katastrofalne:
Utrata danych – nie tylko biznesowych, ale także osobowych, co może skutkować ogromnymi karami w ramach RODO
Zakłócenie ciągłości działania – nieautoryzowany dostęp może prowadzić do przestojów w produkcji czy zakłóceń w łańcuchu dostaw
Strata finansowa – według IBM, średni koszt naruszenia bezpieczeństwa danych w 2024 roku przekroczył 10 milionów dolarów
Utrata reputacji – zaufanie klientów i partnerów biznesowych może być niemożliwe do odbudowania
Co więcej, ataki na systemy SAP stają się coraz bardziej wyrafinowane. Cyberprzestępcy wykorzystują automatyzację i sztuczną inteligencję do identyfikowania i eksploatowania luk. Twoja organizacja może być w ich celowniku nawet w tej chwili.
Jak zabezpieczyć swoje środowisko SAP?
Wdrażanie poprawek bezpieczeństwa to proces, który wymaga starannego planowania i testowania. Oto kilka kluczowych kroków:
Przeprowadź inwentaryzację swoich systemów SAP – zidentyfikuj, które z opublikowanych not dotyczą Twojego środowiska
Ustal priorytety wdrożenia – zacznij od podatności o najwyższym wskaźniku CVSS
Zaplanuj testy poprawek – najpierw wdróż w środowisku testowym
Przygotuj plan awaryjny – na wypadek, gdyby poprawki spowodowały nieprzewidziane problemy
Monitoruj systemy po wdrożeniu – sprawdzaj, czy nie pojawiły się nowe problemy
Potrzebujesz wsparcia? Zespół SNOK jest gotowy pomóc!
Bezpieczeństwo systemów SAP to złożone zagadnienie wymagające specjalistycznej wiedzy. Zespół ekspertów SNOK jest gotowy wesprzeć Twoją organizację w skutecznej implementacji poprawek bezpieczeństwa, aby zminimalizować ryzyko cyberzagrożeń.
Oferujemy:
Analizę podatności – sprawdzimy, które z opublikowanych not dotyczą Twojego środowiska
Planowanie wdrożenia – pomożemy zaplanować bezpieczne wdrożenie poprawek
Testy i weryfikację – przetestujemy poprawki przed wdrożeniem produkcyjnym
Monitorowanie po wdrożeniu – upewnimy się, że wszystko działa jak należy
Nie czekaj, aż cyberprzestępcy wykorzystają luki w Twoim systemie SAP. Skontaktuj się z nami już dziś, aby omówić, jak możemy pomóc zabezpieczyć Twoje krytyczne systemy biznesowe.