Bezpieczny Wtorek ze SNOK: SAP Security Patch Day Lipiec 2025 – Analiza 30 nowych not bezpieczeństwa

Bezpieczny Wtorek ze SNOK, Cybersecurity, SAP, SAP Security

Bezpieczny Wtorek ze SNOK: SAP Security Patch Day Lipiec 2025 – Analiza 30 nowych not bezpieczeństwa

8 lipca, 202529 września, 2025
Bezpieczny Wtorek ze SNOK: SAP Security Patch Day Lipiec 2025 – Analiza 30 nowych not bezpieczeństwa

W dzisiejszym wydaniu „Bezpiecznego Wtorku ze SNOK” przyglądamy się 30 lipcowym Security Notes opublikowanym 8 lipca 2025 r. przez SAP. Pakiet łatek zawiera 6 not klasy Hot News (CVSS ≥ 9.0) i 5 not klasy High – to najwyższe wartości od początku roku. W tegorocznym lipcowym Patch Day dominuje motyw remote code execution poprzez insecure deserialization w komponentach NetWeaver Java oraz krytyczny code injection w S/4HANA SCM.

To jeden z tych wtorków, w których nie warto odkładać restartu systemów na później.

Treść artykułu 

 

Rozkład istotności 30 not bezpieczeństwa (Lipiec 2025)

Dlaczego ten Patch Day zasługuje na szczególną uwagę? Poniżej przedstawiono kilka statystyk porównawczych względem poprzednich aktualizacji:

  • Opublikowano 30 not bezpieczeństwa, czyli o 16 więcej niż w czerwcu.
  • Zidentyfikowano 6 not oznaczonych jako Hot News – to najwyższy wynik w 2025 roku. Wśród nich znajduje się aktualizacja podatności o CVSS 10.0 w module SRM Live Auction Cockpit.
  • Krytyczne luki występują we wszystkich warstwach systemowych: SRM, NetWeaver AS Java, Enterprise Portal, S/4HANA/SCM, a także w komponentach klienckich SAP GUI 8.00 i SAPCAR.
  • Cztery noty stanowią aktualizacje wcześniej opublikowanych poprawek – zaleca się ponowną weryfikację zastosowanych wersji, nawet jeśli wdrożenie łatek zostało już przeprowadzone.

    HotNews > 9.0

    Poniżej przedstawiam najnowsze i najważniejsze podatności SAP o najwyższym priorytecie (CVSS ≥ 9.0):

    SAP Note 3578900 / CVE-30012 / SRM Live Auction Cockpit

    • CVSS: 10.0
    • Ryzyko biznesowe: Pełne przejęcie hosta poprzez „unsafe deserialization” bez logowania.
    • Status: Update – zmiana metryki CVSS

      SAP Note 3618955 / CVE-42967 / S/4HANA & SCM – Characteristic Propagation

      • CVSS: 9.9
      • Ryzyko biznesowe: Wykonanie kodu z uprawnieniami aplikacyjnymi / zawartości
      • Status: Nowa

        SAP Note 3620498 / CVE-42980 / NetWeaver Enterprise Portal FPN

        • CVSS: 9.1
        • Ryzyko biznesowe: Wykonanie nieautoryzowanego kodu / zawartości
        • Status: Nowa

          SAP Note 3621236 / CVE-42964 / NetWeaver Portal Administration

          • CVSS: 9.1
          • Ryzyko biznesowe: Zdalne wykonanie nieautoryzowanego kodu
          • Status: Nowa

            SAP Note 3610892 / CVE-42966 / NetWeaver XML DAS

            • CVSS: 9.1
            • Ryzyko biznesowe: RCE z konta admina AS Java.
            • Status: Nowa

              SAP Note 3621771 / CVE-42963 / NetWeaver Java Log Viewer

              • CVSS: 9.1
              • Ryzyko biznesowe: RCE, możliwość instalacji backdoora na systemie operacyjnym.
              • Status: Nowa

                Każda z powyższych podatności wymaga natychmiastowej uwagi i wdrożenia poprawek ze względu na bardzo wysokie ryzyko biznesowe oraz potencjalne konsekwencje dla bezpieczeństwa środowiska SAP.

                Możliwe konsekwencje zignorowania aktualizacji zabezpieczeń:

                • SRM – W przypadku braku aktualizacji istnieje ryzyko, że nieautoryzowany użytkownik uzyska możliwość manipulacji aukcjami, kradzieży danych oraz eskalacji uprawnień do poziomu uprzywilejowanego użytkownika na serwerze SAP.
                • S/4HANA SCM – Wykorzystanie spreparowanego raportu może prowadzić do wykonania dowolnego kodu ABAP lub systemowego, co w konsekwencji może zakłócić działanie MRP oraz procesy planowania produkcji.
                • Enterprise Portal – Wgranie złośliwego pliku umożliwia przejęcie kontroli nad Landscape Directory, z potencjalnym rozszerzeniem ataku na środowisko BW.
                • Log Viewer – Samo otwarcie konsoli przez administratora może spowodować uruchomienie złośliwego kodu poza środowiskiem JVM, bez konieczności dalszej interakcji.

                  High (CVSS 7.0 – 8.9) – zalecana niezwłoczna implementacja poprawek

                  1. 3600846 – Replay-Attack po wcześniejszych łatkach RFC (CVSS 8.1)
                  2. 3623440 – Brak autoryzacji w CCMS Operation Modes (CVSS 8.1)
                  3. 3565279 – Insecure File Operations w BusinessObjects CMC (CVSS 8.0)
                  4. 3610591 – Directory Traversal w Visual Composer (CVSS 7.6, Update)
                  5. 3595143 – Privilege Escalation w SAPCAR (CVSS 6.9)

                    Średnie i niskie –  mimo niższego ryzyka, nie należy ich pomijać

                    Choć 19 pozostałych not ma niższe oceny, zawierają:

                    • W komponentach ABAP Channels i BW Loading Animation wykryto podatności typu Cross-Site Scripting (CVE-2025-42969, CVE-2025-42962), które mogą umożliwić wykonanie złośliwego kodu w przeglądarce użytkownika.
                    • W module BusinessObjects Promotion Management zidentyfikowano podatność typu Server-Side Request Forgery (SSRF) (CVE-2025-42965), co może prowadzić do nieautoryzowanego dostępu do zasobów wewnętrznych.
                    • W wersji SAP GUI for Windows 8.00 stwierdzono obecność zaszytych danych uwierzytelniających (hard-coded credentials) (CVE-2025-42979), co stanowi bezpośrednie zagrożenie po stronie stacji roboczych.
                    • W całej rodzinie narzędzi SAPCAR występują poważne podatności, w tym uszkodzenia pamięci, directory traversal oraz eskalacja uprawnień. Zaleca się natychmiastową aktualizację instalacyjnych klientów SAPCAR na serwerach oraz urządzeniach końcowych.

                      Wniosek: Problemy z serializacją w warstwie stacku Java-owego nadal pozostają nierozwiązane, a przypadki dotyczące starszych narzędzi, takich jak SAPCAR czy GUIXT, pokazują, że bezpieczeństwo komponentów klienckich ma równie istotne znaczenie jak ochrona środowisk backendowych.

                      Rekomendacje dla administratorów i C-level

                      1. Priorytety patchowania

                      • W pierwszej kolejności należy zaadresować podatności w modułach: SRM Live Auction Cockpit, S/4HANA SCM oraz NetWeaver Java (komponenty: FPN, Admin, Log Viewer).
                      • W dalszej kolejności zaleca się aktualizację środowisk BW/BPC, szczególnie tych narażonych na ataki typu XSS i Denial of Service (DoS).

                        2. Okna serwisowe

                        • Po wdrożeniu komponentu LM NWA Basic Apps zaleca się zaplanowanie restartu instancji Java w wersji powyżej 7.50.
                        • W przypadku narzędzia SAPCAR niezbędne jest zaktualizowanie binariów na serwerach aplikacyjnych, a także – w razie potrzeby – na urządzeniach końcowych.

                          3. Kontrole bezpieczeństwa

                          • Rekomenduje się aktywację monitorowania procesów deserializacji, poprzez ustawienie parametru SAP JVM: -Dserialization.
                          • Po zastosowaniu noty 3600846, należy ustawić parametr rfc/authCheckInPlayback = 1, co pozwala ograniczyć ryzyko nadużyć w komunikacji RFC.
                          • Wskazane jest również zaktualizowanie narzędzi SAST/DAST, tak aby uwzględniały najnowsze identyfikatory podatności CVE.

                            4. Komunikacja biznesowa Zignorowanie bieżących poprawek nie stanowi jedynie problemu technicznego – to bezpośrednie zagrożenie dla stabilności operacyjnej i przychodów organizacji.

                            • Luka CVSS 10.0 w module SRM Live Auction Cockpit umożliwia pełny dostęp do aktywnych aukcji. Może dojść do manipulacji ofertami, kradzieży danych przetargowych lub nawet przejęcia kont uprzywilejowanych. W rezultacie zagrożona jest nie tylko poufność, ale również transparentność procesów zakupowych.
                            • Zdalne wykonanie kodu (RCE) w module SCM może zostać wykorzystane do zakłócenia działania kluczowych procesów – takich jak planowanie produkcji czy działanie MRP. W skrajnym przypadku skutkiem może być zatrzymanie linii produkcyjnej lub opóźnienia w dostawach.

                              To nie jest zwykła „łatka IT”. To kwestia zarządzania ryzykiem biznesowym, która wymaga natychmiastowej reakcji. Brak działań może skutkować realnymi stratami finansowymi, utratą zaufania kontrahentów oraz naruszeniem zgodności z regulacjami.

                              Lipcowy SAP Security Patch Day – największa publikacja poprawek w 2025 roku

                              Opublikowano 30 not bezpieczeństwa, w tym 6 oznaczonych jako Hot News oraz 5 o wysokim poziomie istotności (High). To najbardziej intensywny Patch Day od początku roku.

                              Szczególną uwagę należy zwrócić na luki umożliwiające zdalne wykonanie kodu (Remote Code Execution) w kluczowych komponentach systemu:

                              • SRM Live Auction Cockpit
                              • S/4HANA SCM
                              • NetWeaver Java (różne moduły)

                                Zaleca się jak najszybsze wdrożenie poprawek. Opóźnienia zwiększają ryzyko, że podatność zostanie wykorzystana zanim możliwa będzie reakcja obronna. Szybkie działanie oznacza mniejsze prawdopodobieństwo kompromitacji systemu i strat biznesowych.

                                Pełny wykaz dostępny zawsze pod oficjalnym adresem: https://support.sap.com/securitynotes

                                Masz pytania lub potrzebujesz wsparcia przy wdrożeniu? Zespół SNOK jest gotów pomóc Ci przejść przez proces patchowania. Zaleca się skorzystanie z konsultacji, aby zabezpieczyć środowisko SAP zanim luka zostanie wykorzystana przez osoby niepowołane.

                                #SAPSecurity #PatchDay #CyberSecurity #S4HANA #NetWeaver #SNOK

                                SNOK.AI
                                Powered by  Zgodności ciasteczek z RODO
                                Przegląd prywatności

                                Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.