W świecie technologii wszystko szybko się zmienia, jednak pewne fundamentalne kwestie bezpieczeństwa pozostają niezmienne. Doskonale widać to na przykładzie SAP GUI – podstawowego interfejsu użytkownika systemów SAP, który mimo swojej dojrzałości i niemal 30-letniej obecności na rynku wciąż wymaga systematycznego podejścia do zabezpieczeń. Najnowsze biuletyny bezpieczeństwa z początku 2025 roku potwierdzają, że praca nad bezpieczeństwem SAP GUI nigdy się nie kończy.
Podatności SAP GUI w 2025 roku – problemy wciąż występują
Analiza najnowszych not bezpieczeństwa SAP z pierwszego kwartału 2025 roku ujawnia szereg krytycznych podatności dotyczących różnych komponentów SAP GUI:
Cross-Site Scripting (XSS) w SAP GUI dla HTML
Dwie różne noty bezpieczeństwa (3562390 i 3552824) opisują poważne podatności typu XSS w komponencie WebGUI (SAP GUI dla HTML):
- CVE-2025-25242: podatność powstała z powodu braku odpowiedniego kodowania wyjścia
- CVE-2025-26659: DOM-based XSS umożliwiający atakującym bez uprawnień przygotowanie złośliwej wiadomości wykorzystującej funkcjonalność WEBGUI
Obie podatności otrzymały ocenę CVSS 6.1, co klasyfikuje je jako podatności średniego ryzyka.
Niewłaściwe przechowywanie poświadczeń w pamięci
Nota bezpieczeństwa 3562336 opisuje podatność związaną z nieprawidłowym przechowywaniem poświadczeń SAP GUI dla Windows i usługi RFC w pamięci programu. Umożliwia to atakującemu z wysokimi uprawnieniami na komputerze klienckim uzyskać dostęp do informacji w serwerze aplikacji ABAP, nawet bez posiadania konta w systemie backend.
Podatność DLL Hijacking w SAPSetup
Zgodnie z notą 3542533, komponent SAPSetup zawiera podatność typu DLL injection, która umożliwia atakującemu z uprawnieniami lokalnego użytkownika lub z dostępem do przejętego konta firmowego uzyskanie wyższych uprawnień. To może prowadzić do dalszej kompromitacji sieci i katalogu Active Directory firmy.
Problemy z przechowywaniem danych lokalnych
Noty 3502459 (GUI dla Java), 3503138 (WebGUI) i 3472837 (GUI dla Windows) opisują podatności związane z niewłaściwym przechowywaniem danych wprowadzanych przez użytkownika w lokalnej pamięci przeglądarki lub historii wprowadzania. Te podatności mogą prowadzić do ujawnienia wrażliwych informacji.
Dlaczego regularne aktualizacje SAP GUI są kluczowe
Podatności w SAP GUI są stale odkrywane i naprawiane, co pokazuje, że nawet dojrzałe produkty wymagają ciągłego nadzoru bezpieczeństwa. Kilka kluczowych powodów, dla których regularne aktualizacje SAP GUI są niezbędne:
- Zmieniający się krajobraz zagrożeń – z roku na rok pojawiają się nowe techniki ataków, które mogą wykorzystywać nieznane wcześniej podatności
- Ewolucja technologii – SAP GUI integruje się z nowymi technologiami (jak WebView2/Edge w miejsce Internet Explorer), co wprowadza nowe wektory ataków
- Zwiększona ekspozycja – coraz więcej organizacji łączy się z zewnętrznymi systemami SAP (B2B, chmura, itd.), zwiększając potencjalną powierzchnię ataku
Jak zabezpieczyć SAP GUI w 2025 roku
Na podstawie najnowszych dokumentów bezpieczeństwa SAP oraz wiedzy eksperckiej SNOK, zalecamy następujące kroki:
1. Regularnie wdrażaj poprawki bezpieczeństwa
Wszystkie wykryte podatności zostały naprawione przez SAP w odpowiednich pakietach poprawek (Support Packages). Kluczowe jest wdrażanie tych poprawek niezwłocznie po ich udostępnieniu.
2. Skonfiguruj moduł bezpieczeństwa SAP GUI
SAP GUI posiada rozbudowany moduł bezpieczeństwa, który umożliwia ochronę stacji roboczej przed niepożądanymi działaniami. Zalecamy:
- Używanie trybu „Customized” z regułami bezpieczeństwa dostosowanymi do potrzeb organizacji
- Konfigurowanie reguł zależnych od kontekstu (Context-Dependent Rules), aby umożliwić wykonywanie tylko niezbędnych operacji dla określonych systemów i transakcji
- Utworzenie centralnego repozytorium zasad bezpieczeństwa dla całej organizacji
3. Zabezpiecz dane lokalne
- Skonfiguruj automatyczne usuwanie plików tymczasowych i śladów w folderach SAP GUI
- Rozważ szyfrowanie dysku twardego na stacjach roboczych (np. BitLocker)
- Wykorzystaj opcje SAP GUI do zarządzania czasem życia plików lokalnych: Włącz automatyczne usuwanie plików w folderze Documents podczas zamykania SAP Logon Wyłącz historię wprowadzania dla pól zawierających dane wrażliwe (~sap-disableinputhistory = 1) Skróć czas przechowywania danych wprowadzonych przez użytkowników (~data_aging_default)
4. Zabezpiecz połączenia sieciowe
- Wdrażaj SNC (Secure Network Communications) dla wszystkich połączeń między SAP GUI a serwerami aplikacyjnymi
- Rozważ użycie SAP NetWeaver Single Sign-On lub SNC Client Encryption
- Kontroluj porty używane przez SAP GUI w zaporach sieciowych
5. Monitoruj aktywność WebGUI
Jeśli używasz SAP GUI dla HTML (WebGUI):
- Korzystaj z Edge opartego na Chromium zamiast Internet Explorer
- Bezpiecznie konfiguruj WebguiConnector
- Regularnie usuwaj dane przeglądarki
6. Stosuj zasadę najmniejszych uprawnień
- Ograniczaj możliwość instalacji rozszerzeń przeglądarki związanych z SAP GUI
- Używaj odpowiednich mechanizmów uwierzytelniania i autoryzacji
- Kontroluj uruchamianie skrótów SAP i poleceń przez linię komend
Rola ekspertów SNOK
Konsultanci SNOK, jako specjaliści w dziedzinie cyberbezpieczeństwa SAP, oferują:
- Regularne monitorowanie biuletynów bezpieczeństwa SAP
- Przygotowywanie szczegółowych rekomendacji dla klientów uwzględniających specyfikę ich środowiska
- Wsparcie przy implementacji poprawek i konfiguracji zabezpieczeń SAP GUI
- Regularne audyty bezpieczeństwa środowiska SAP, w tym konfiguracji klientów SAP GUI
Podsumowanie
Bezpieczeństwo SAP GUI pozostaje krytycznie ważnym elementem ogólnej strategii bezpieczeństwa systemów SAP. Mimo że SAP GUI jest dojrzałym produktem, wciąż wymaga takich samych starań związanych z bezpieczeństwem jak 20 lat temu. Regularne aktualizacje, właściwa konfiguracja i współpraca z ekspertami takimi jak SNOK pozwalają zminimalizować ryzyko związane z wykrytymi podatnościami.