🚨 Bezpieczny Wtorek ze SNOK: SAP Security Patch Day – Listopad 2025
Listopadowy SAP Security Patch Day za nami! Jak co miesiąc, SAP dostarczył zestaw poprawek krytycznych dla bezpieczeństwa Twojego krajobrazu systemów SAP.
11 listopada 2025 roku firma SAP opublikowała 18 nowych not bezpieczeństwa oraz 2 aktualizacje do istniejących not. W tym miesiącu musimy zwrócić szczególną uwagę na trzy krytyczne luki (CVSS 9.9 i 10.0!), które wymagają natychmiastowej uwagi.
Przedstawiona poniżej analiza obejmuje szczegółowy przegląd wszystkich publikowanych not bezpieczeństwa z uwzględnieniem mechanizmów eksploitacji, rekomendowanych działań naprawczych oraz dostępnych obejść tymczasowych dla luk krytycznych i wysokich. Dokumentacja została przygotowana w celu wsparcia decyzji dotyczących priorytetyzacji procesu aktualizacji w środowiskach produkcyjnych SAP.
Priorytet krytyczny
Nota SAP: 3660659 (Aktualizacja)
Tytuł: Security Hardening for Insecure Deserialization in SAP NetWeaver AS Java
CVE: CVE-2025-42944
Produkt: SAP NetWeaver AS Java
Wersja: SERVERCORE 7.50
Priorytet: Krytyczny
CVSS: 10.0
Przyczyny
Przyczyną problemu jest niebezpieczna deserializacja obiektów JDK oraz klas zewnętrznych dostawców, która nie jest domyślnie ograniczona w SAP NetWeaver AS Java. System staje się podatny na zdalne wykonanie kodu, gdy specjalnie przygotowane dane są deserializowane przez środowisko uruchomieniowe AS Java.
Rekomendacja rozwiązania problemu
Aby rozwiązać ten problem należy zastosować patch zabezpieczający, który blokuje niebezpieczne klasy JDK i zewnętrznych dostawców w SAP NetWeaver AS Java. System należy zaktualizować do najnowszej dostępnej łatki dla wersji SERVERCORE 7.50 – patch zawiera konfiguracyjną poprawkę zapobiegającą niebezpiecznej deserializacji w środowisku uruchomieniowym SAP NetWeaver AS Java.
Nota SAP: 3666261
Tytuł: Insecure key & Secret Management vulnerability in SQL Anywhere Monitor (Non-Gui)
CVE: CVE-2025-42890
Produkt: SQL Anywhere Monitor
Wersja: 17.0
Priorytet: Krytyczny
CVSS: 10.0
Przyczyny
SQL Anywhere Monitor (wersja Non-GUI) posiadał zakodowane na stałe poświadczenia w kodzie, co narażało zasoby lub funkcjonalności na dostęp nieautoryzowanych użytkowników i dawało atakującym możliwość arbitralnego wykonania kodu.
Rekomendacja rozwiązania problemu
Rozwiązaniem będzie usunięcie SQL Anywhere Monitor.
Zastosowanie poprawki spowoduje usunięcie SQL Anywhere Monitor. W istniejących instalacjach zostaną usunięte bazy danych znajdujące się w domyślnych lokalizacjach instalacji oraz udostępnione niezładowane dane historyczne.
Poprawka jest dostępna od wersji SQL Anywhere 17.0 SP1 PL20 Build 8039.
Workaround (Obejście)
Użytkownicy powinni zaprzestać używania i usunąć wszelkie instancje bazy danych SQL Anywhere Monitor (samonitor.db). Klienci potrzebujący funkcji monitorowania powinni przejść na SQL Anywhere Cockpit.
Nota SAP: 3668705
Tytuł: Code Injection vulnerability in SAP Solution Manager
CVE: CVE-2025-42887
Produkt: SAP Solution Manager
Wersja: 7.2
Priorytet: Krytyczny
CVSS: 9.9
Przyczyny
Z powodu brakującego mechanizmu oczyszczania danych wejściowych (input sanitation) w SAP Solution Manager, uwierzytelniony atakujący może wstrzyknąć złośliwy kod podczas wywoływania modułu funkcyjnego z włączoną funkcją zdalnego dostępu (remote-enabled function module). Może to zapewnić atakującemu pełną kontrolę nad systemem, co prowadzi do wysokiego wpływu na poufność, integralność i dostępność systemu.
Rekomendacja rozwiązania problemu
Problem został naprawiony poprzez dodanie fragmentu kodu (code snippet), który oczyszcza wprowadzane dane wejściowe, odrzucając większość znaków niealfanumerycznych. Rowiązaniem jest implementacja noty 3668705.
Nota SAP: 3633049
Tytuł: Memory Corruption vulnerability in SAP CommonCryptoLib
CVE: CVE-2025-42940
Produkt: SAP CommonCryptoLib
Wersja: 8
Priorytet: Wysoki
CVSS: 7.5
Przyczyny
SAP CommonCryptoLib nie przeprowadza niezbędnych kontroli granic (boundary checks) podczas parsowania danych ASN.1 (przed uwierzytelnieniem) przesyłanych przez sieć. Umożliwia to atakującemu przesłanie złośliwych danych, co może prowadzić do uszkodzenia pamięci (memory corruption), a następnie do awarii aplikacji (application crash). W rezultacie prowadzi to do wysokiego wpływu na dostępność (availability) systemu. Nie ma wpływu na poufność ani integralność.
Rekomendacja rozwiązania problemu
Rozwiązaniem problemu jest aktualizacja CommonCryptoLib do wersji przynajmniej 8.5.60. Ponieważ niektóre komponenty środowiska SAP zawierają CommonCryptoLib, należy zapoznać się z Notą SAP 3628110 w celu uzyskania odpowiednich poziomów poprawek (Patch Levels) dla tychże komponentów.
Średni Priorytet (Medium)
Nota SAP 3643385 | CVE-2025-42895 SAP HANA JDBC Client | CVSS: 6.9 | Code Injection vulnerability (Luka wstrzyknięcia kodu). Wersje: HDB_CLIENT 2.0
Nota SAP 3665900 | CVE-2025-42892 SAP Business Connector | CVSS: 6.8 | OS Command Injection vulnerability (Luka wstrzyknięcia poleceń SO). Wersje: SAP BC 4.8
Nota SAP 3666038 | CVE-2025-42894 SAP Business Connector | CVSS: 6.8 | Path Traversal vulnerability (Luka przechodzenia przez ścieżki). Wersje: SAP BC 4.8
Nota SAP 3660969 | CVE-2025-42884 SAP NetWeaver Enterprise Portal | CVSS: 6.5 | JNDI Injection vulnerability (Luka wstrzyknięcia JNDI). Wersje: EP-BASIS 7.50, EP-RUNTIME 7.50
Nota SAP 3642398 | CVE-2025-42924 SAP S/4HANA landscape (SAP E-Recruiting BSP) | CVSS: 6.1 | Open Redirect vulnerabilities (Luka otwartego przekierowania). Wersje: S4ERECRT 100, 200, ERECRUIT 600-802
Nota SAP 3662000 | CVE-2025-42893 SAP Business Connector | CVSS: 6.1 | Open Redirect vulnerability (Luka otwartego przekierowania). Wersje: SAP BC 4.8
Nota SAP 3665907 | CVE-2025-42886 SAP Business Connector | CVSS: 6.1 | Reflected Cross-Site Scripting (XSS) vulnerability (Luka XSS typu Reflected). Wersje: SAP BC 4.8
Nota SAP 3639264 | CVE-2025-42885 SAP HANA 2.0 (hdbrss) | CVSS: 5.8 | Missing authentication (Brak uwierzytelnienia). Wersje: HDB 2.00
Nota SAP 3651097 | CVE-2025-42888 SAP GUI for Windows | CVSS: 5.5 | Information Disclosure vulnerability (Luka ujawnienia informacji). Wersje: BC-FES-GUI 8.00, 8.10
Nota SAP 2886616 | CVE-2025-42889 SAP Starter Solution (PL SAFT) | CVSS: 5.4 | SQL Injection vulnerability (Luka wstrzyknięcia SQL). Wersje: SAP_APPL 600-616, SAP_FIN 617-730, S4CORE 100-104
Nota SAP 3643603 | CVE-2025-42919 SAP NetWeaver Application Server Java | CVSS: 5.3 | Information Disclosure vulnerability (Luka ujawnienia informacji). Wersje: ENGINEAPI 7.50, EP-BASIS 7.50
Nota SAP 3652901 | CVE-2025-42897 SAP Business One (SLD) | CVSS: 5.3 | Information Disclosure vulnerability (Luka ujawnienia informacji). Wersje: B1_ON_HANA 10.0, SAP-M-BO 10.0
Nota SAP 3530544 | CVE-2025-42899 SAP S4CORE (Manage Journal Entries) | CVSS: 4.3 | Missing Authorization check (Brak kontroli autoryzacji). Wersje: S4CORE 104-108
Nota SAP 3643337 | CVE-2025-42882 SAP NetWeaver Application Server for ABAP | CVSS: 4.3 | Missing Authorization check (Brak kontroli autoryzacji). Wersje: SAP_BASIS 700-816
Niski Priorytet (Low)
Nota SAP 3426825 (Update) | CVE-2025-23191 SAP Fiori for SAP ERP | CVSS: 3.1 | Cache Poisoning through header manipulation vulnerability (Zatrucie pamięci podręcznej). Wersje: SAP_GWFND 740-758
Nota SAP 3634053 | CVE-2025-42883 SAP NetWeaver Application Server for ABAP (Migration Workbench) | CVSS: 2.7 | Insecure File Operations vulnerability (Luka niebezpiecznych operacji na plikach). Wersje: SAP_BASIS 700-816
Podsumowanie i Rekomendacje Strategiczne
Zespół SNOK wspiera swoich klientów w kompleksowej implementacji poprawek bezpieczeństwa SAP, oferując dedykowane usługi analizy, priorytetyzacji oraz wdrażania krytycznych aktualizacji w środowiskach produkcyjnych. Ostatni SAP Security Patch Day wymaga mobilizacji organizacyjnej ze względu na identyfikację luk o średnim i niskim priorytecie, które choć nie osiągają maksymalnej krytyczności, stanowią potencjalne wektory ataku zagrażające poufności, integralności i dostępności systemów.
Wśród opublikowanych not znajduje się 14 luk o priorytecie Średnim (Medium), z których najwyższa to wstrzyknięcie kodu w SAP HANA JDBC Client (CVSS 6.9). Wiele luk dotyczy również SAP Business Connector (Path Traversal, OS Command Injection, XSS), wymagając natychmiastowej uwagi ze względu na ryzyko przejęcia kontroli lub dostępu do wrażliwych zasobów.
W perspektywie najbliższych dni organizacje muszą przeprowadzić kompleksową inwentaryzację zasobów SAP, ze szczególnym uwzględnieniem komponentów SAP Business Connector 4.8 oraz SAP HANA JDBC Client 2.0, równolegle inicjując procedury aktualizacji dla systemów krytycznych. Należy również zweryfikować luki związane z brakującą kontrolą autoryzacji w SAP NetWeaver AS ABAP i komponencie SAP S4CORE.
Potencjalne konsekwencje nieimplementowania tych poprawek obejmują nieautoryzowany dostęp do danych, przejęcie kontroli nad systemami o niższym priorytecie oraz naruszenie wymogów zgodności (compliance). Inwestycja w szybkie łatanie jest kluczowa dla utrzymania ciągłości i stabilności operacyjnej.