SAP Security Patch Day to comiesięczne, regularne wydanie aktualizacji bezpieczeństwa i poprawek przez firmę SAP, odbywające się zawsze w drugi wtorek miesiąca – w sierpniu 2025 roku przypada to na 12 sierpnia. Ten cykl jest kluczowym elementem strategii utrzymania bezpieczeństwa systemów SAP, umożliwiając organizacjom bieżące zabezpieczanie swoich środowisk przed nowo odkrytymi lukami i zagrożeniami. Regularne wdrażanie tych poprawek jest niezbędne do ochrony infrastruktury SAP przed coraz bardziej wyrafinowanymi atakami – podobnie jak systematyczne szczepienia chronią organizm przed chorobami.
W sierpniowym pakiecie poprawek SAP opublikował 15 nowych not bezpieczeństwa oraz zaktualizował 4 wcześniejsze. Wśród nich znalazły się krytyczne luki związane z podatnościami na zdalne wstrzyknięcie kodu w kluczowych produktach, takich jak SAP S/4HANA i SAP Landscape Transformation, wszystkie z najwyższym wskaźnikiem CVSS 9.9. Ponadto, odnotowano także poważne problemy z autoryzacją, wieloma innymi podatnościami oraz poprawki dotyczące SAP GUI, SAP Cloud Connector i innych komponentów. Ze względu na wysoki poziom zagrożenia, szybkie i systematyczne wdrażanie tych poprawek jest kluczowe dla zapewnienia bezpieczeństwa środowisk SAP i minimalizacji ryzyka poważnych incydentów.
Poniżej przedstawiamy wszystkie noty zawarte w sierpniowym SAP Security Patch Day 2025, od najbardziej krytycznych do najmniej.
Krytyczne (HotNews):
1. Nota: 3627998 – Code Injection vulnerability in SAP S/4HANA (Private Cloud or On-Premise)
CVSS v3.0 Base Score: 9,9 / 10 (Critical)
SAP S/4HANA pozwala atakującemu z uprawnieniami użytkownika na wykorzystanie luki w module funkcyjnym eksponowanym poprzez RFC. Dziura ta umożliwia wstrzyknięcie dowolnego kodu ABAP do systemu, omijając podstawowe kontrole autoryzacji. Luka ta skutecznie działa jako backdoor, stwarzając ryzyko pełnej kompromitacji systemu, podważając jego poufność, integralność i dostępność.
Poprawka udostępniona w tej nocie bezpieczeństwa SAP wyeliminuje ryzyko wstrzyknięcia kodu i zapewni, że aplikacja nie będzie już umożliwiać wykonywania dowolnego kodu, uniemożliwiając atakującym wstrzykiwanie i wykonywanie złośliwych skryptów lub poleceń.
Należy wdrożyć instrukcje poprawek lub pakiety wsparcia, do których odwołuje się niniejsza nota bezpieczeństwa SAP.
Nie ma dostępnego obejścia – należy zaimplementować kod ABAP z noty.
2. Nota: 3633838 – Code Injection Vulnerability in SAP Landscape Transformation (Analysis Platform)
CVSS v3.0 Base Score: 9,9 / 10 (Critical)
SAP Landscape Transformation (SLT) pozwala atakującemu z uprawnieniami użytkownika na wykorzystanie luki w module funkcyjnym wystawionym przez RFC. Dziura ta umożliwia wstrzyknięcie dowolnego kodu ABAP do systemu, omijając podstawowe kontrole autoryzacji. Luka ta skutecznie działa jako backdoor, stwarzając ryzyko pełnej kompromitacji systemu, podważając jego poufność, integralność i dostępność.
Poprawka przedstawiona w tej nocie bezpieczeństwa SAP wyeliminuje ryzyko wstrzyknięcia kodu i zapewni, że aplikacja nie będzie już umożliwiać wykonywania dowolnego kodu, uniemożliwiając atakującym wstrzykiwanie i wykonywanie złośliwych skryptów lub poleceń.
Należy wdrożyć instrukcje poprawek lub pakiety wsparcia, do których odwołuje się niniejsza nota bezpieczeństwa SAP.
Nie ma dostępnego obejścia – należy zaimplementować kod ABAP z noty.
3. Nota: 3581961 – Code Injection Vulnerability in SAP S/4HANA (Private Cloud or On-Premise) [AKTUALIZACJA]
CVSS v3.0 Base Score: 9,9 / 10
SAP S/4HANA pozwala atakującemu z uprawnieniami użytkownika na wykorzystanie luki w module funkcyjnym eksponowanym przez RFC. Dziura ta umożliwia wstrzyknięcie dowolnego kodu ABAP do systemu, omijając podstawowe kontrole autoryzacji. Luka ta skutecznie działa jako backdoor, stwarzając ryzyko pełnej kompromitacji systemu, podważając jego poufność, integralność i dostępność.
Należy wdrożyć instrukcje poprawek lub pakiety wsparcia, do których odwołuje się niniejsza nota bezpieczeństwa SAP.
Poprawka przedstawiona w tej nocie bezpieczeństwa SAP wyeliminuje ryzyko wstrzyknięcia kodu i zapewni, że aplikacja nie będzie już umożliwiać wykonywania dowolnego kodu, uniemożliwiając atakującym wstrzykiwanie i wykonywanie złośliwych skryptów lub poleceń.
Nie ma dostępnego obejścia – należy zaimplementować kod ABAP z noty.
Priorytet wysoki:
4. Nota: 3625403 – Broken Authorization in SAP Business One (SLD)
CVSS v3.0 Base Score: 8,8 / 10 (High)
Z powodu złamanej autoryzacji, SAP Business One (SLD) pozwala uwierzytelnionemu atakującemu na uzyskanie uprawnień administratora bazy danych poprzez wywołanie odpowiedniego API. W rezultacie ma to duży wpływ na poufność, integralność i dostępność aplikacji.
Następujące środki zostały wdrożone w celu złagodzenia podatności.
– Usługa SLD odwołuje to uprawnienie API dla zwykłych użytkowników SAP Business One, tylko administrator krajobrazu (taki jak B1SiteUser) może wywołać ten interfejs API.
– Natywny klient SAP Business One używa teraz konta bazy danych odpowiedniego poziomu do uzyskiwania dostępu do bieżącej bazy danych firmy
– Podczas wykonywania zadań zarządzania krajobrazem, które wymagają konta uprzywilejowanego, takich jak archiwizacja danych, transfer roku, pojawia się dodatkowe wyskakujące okienko z prośbą o zalogowanie się jako administrator krajobrazu.
Należy wdrożyć pakiety wsparcia i poprawki, o których mowa w niniejszej nocie bezpieczeństwa SAP.
Nie ma żadnego obejścia – należy wykonać aktualizację zgodnie z notą.
5. Nota: 3611184 – Multiple vulnerabilities in SAP NetWeaver Application Server ABAP (BIC Document)
CVSS v3.0 Base Score: 8,1 / 10 (High)
Niniejsza nota bezpieczeństwa dotyczy wielu luk w SAP NetWeaver Application Server ABAP (BIC Document). Szczegóły podatności wraz z odpowiednimi informacjami CVE i CVSS można znaleźć poniżej:
Uszkodzenie pamięci [CVE-2025-42976]: SAP NetWeaver Application Server ABAP (BIC Document) pozwala uwierzytelnionemu atakującemu na spreparowanie żądania, które po przesłaniu do aplikacji BIC Document może spowodować błąd uszkodzenia pamięci. Po pomyślnym wykorzystaniu powoduje to awarię docelowego komponentu. Wielokrotne zgłoszenia mogą sprawić, że cel będzie całkowicie niedostępny. Podobnie spreparowane zgłoszenie może być również wykorzystane do wykonania operacji odczytu poza granicami, ujawniając poufne informacje, które są w tym czasie ładowane do pamięci. Nie ma możliwości modyfikowania jakichkolwiek informacji.
CVSS: 8.1; CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H
Reflected Cross-Site Scripting [CVE-2025-42975]: SAP NetWeaver Application Server ABAP (BIC Document) umożliwia nieuwierzytelnionemu atakującemu utworzenie linku URL, który po uzyskaniu dostępu do aplikacji BIC Document osadza złośliwy skrypt. Gdy ofiara kliknie ten link, skrypt wykonuje się w przeglądarce ofiary, umożliwiając atakującemu dostęp i/lub modyfikację informacji związanych z klientem sieciowym bez wpływu na dostępność.
CVSS: 6.1; CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Problem ten został naprawiony poprzez poprawę walidacji parametrów wejściowych.
Należy wdrożyć instrukcje korekty lub pakiety wsparcia, o których mowa w niniejszej nocie bezpieczeństwa.
Przed wdrożeniem należy ocenić możliwość zastosowania tego obejścia w środowisku SAP.
Należy pamiętać, że to obejście jest rozwiązaniem tymczasowym i nie jest rozwiązaniem trwałym. SAP zdecydowanie zaleca zastosowanie poprawek opisanych w nocie bezpieczeństwa, które można wykonać zamiast obejścia lub po wdrożeniu obejścia.
Aby dezaktywować usługę SICF BIC, należy wykonać następujące kroki:
1. Uruchom transakcję SICF
2. Wyszukaj nazwę usługi BIC
3. Kliknij prawym przyciskiem myszy nazwę usługi i wybierz opcję „Dezaktywuj usługę”.
Priorytet średni i nisk:
6. Nota: 3614804 – Directory Traversal vulnerability in SAP S/4HANA (Bank Communication Management)
CVSS v3.0 Base Score: 6,9 / 10 (Medium)
Z powodu podatności typu directory traversal w SAP S/4HANA (Bank Communication Management), atakujący z wysokimi uprawnieniami i dostępem do określonej transakcji i metody w Bank Communication Management może uzyskać nieautoryzowany dostęp do wrażliwych plików systemu operacyjnego. Mogłoby to pozwolić atakującemu na potencjalne odczytanie lub usunięcie tych plików, powodując wysoki wpływ na poufność i niski wpływ na integralność. Nie ma to wpływu na dostępność systemu.
7. Nota: 3585491 – HTML Injection vulnerability in SAP NetWeaver Application Server ABAP
CVSS v3.0 Base Score: 6,1 / 10 (Medium)
SAP NetWeaver Application Server ABAP posiada lukę typu HTML injection. Z tego powodu atakujący może stworzyć adres URL ze złośliwym skryptem jako ładunkiem i nakłonić ofiarę z aktywną sesją użytkownika do jego wykonania. Po udanym wykorzystaniu luka ta może prowadzić do ograniczonego dostępu do danych lub ich manipulacji. Nie ma to wpływu na dostępność.
8. Nota: 3597355 – Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Application Server for ABAP
CVSS v3.0 Base Score: 6,1 / 10 (Medium)
SAP NetWeaver Application Server for ABAP jest podatny na atak typu cross-site scripting. Z tego powodu nieuwierzytelniony atakujący może stworzyć adres URL osadzony ze złośliwym skryptem i oszukać nieuwierzytelnioną ofiarę, aby kliknęła go w celu wykonania skryptu. Po pomyślnym wykorzystaniu luki, atakujący mógł uzyskać dostęp i zmodyfikować ograniczone informacje w zakresie przeglądarki ofiary. Luka ta nie ma wpływu na dostępność aplikacji.
9. Nota: 3629871 – Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver ABAP Platform
CVSS v3.0 Base Score: 6,1 / 10 (Medium)
Ze względu na lukę Cross-Site Scripting (XSS) w SAP NetWeaver ABAP Platform, nieuwierzytelniony atakujący może wygenerować złośliwy link i udostępnić go publicznie. Jeśli uwierzytelniony użytkownik kliknie ten link, wstrzyknięte dane wejściowe są przetwarzane podczas generowania strony internetowej, co skutkuje utworzeniem złośliwej zawartości. Gdy ta złośliwa zawartość zostanie wykonana, atakujący może uzyskać możliwość dostępu / modyfikowania informacji w zakresie przeglądarki ofiary.
10. Nota: 3503138 – Information Disclosure vulnerability in SAP NetWeaver Application Server ABAP (applications based on SAP GUI for HTML) [AKTUALIZACJA]
CVSS v3.0 Base Score: 6,0 / 10 (Medium)
Aplikacje oparte na SAP GUI for HTML w SAP NetWeaver Application Server ABAP przechowują dane wejściowe użytkownika w lokalnej pamięci przeglądarki w celu poprawy użyteczności. Atakujący z uprawnieniami administracyjnymi lub dostępem do katalogu użytkownika ofiary na poziomie systemu operacyjnego mógłby odczytać te dane. W zależności od danych wprowadzanych przez użytkownika w transakcjach, ujawnione dane mogą wahać się od danych niekrytycznych do wysoce wrażliwych, powodując duży wpływ na poufność aplikacji.
11. Nota: 3602656 – Missing Authorization check in SAP NetWeaver Application Server for ABAP
CVSS v3.0 Base Score: 5,4 / 10 (Medium)
SAP NetWeaver Application Server for ABAP nie umożliwia administratorowi przypisywania rozróżnionych uprawnień dla różnych ról użytkowników, co pozwala uwierzytelnionym użytkownikom na dostęp do zastrzeżonych obiektów w interfejsie kodów kreskowych, prowadząc do eskalacji uprawnień. Powoduje to niewielki wpływ na poufność i integralność aplikacji, nie ma wpływu na dostępność.
12. Nota: 3561792 – Missing Authentication check in SAP NetWeaver Enterprise Portal (OBN component) [AKTUALIZACJA]
CVSS v3.0 Base Score: 5,3 / 10 (Medium)
OBN SAP NetWeaver Enterprise Portal nie przeprowadza prawidłowej kontroli uwierzytelniania dla określonego ustawienia konfiguracji. W rezultacie nieuwierzytelniony użytkownik może ustawić niepożądaną wartość, co ma niewielki wpływ na integralność. Nie ma to wpływu na poufność lub dostępność aplikacji.
13. Nota: 3626722 – Missing Authorization check in ABAP Platform
CVSS v3.0 Base Score: 4,9 / 10 (Medium)
Ze względu na brak sprawdzania autoryzacji w platformie ABAP, uwierzytelniony użytkownik z podwyższonymi uprawnieniami mógł ominąć ograniczenia autoryzacji dla typowych transakcji, wykorzystując konsolę SQL. Może to umożliwić atakującemu dostęp i odczyt zawartości tabel bazy danych bez odpowiedniej autoryzacji, co prowadzi do znacznego naruszenia poufności danych. Nie miało to jednak wpływu na integralność i dostępność systemu.
14. Nota: 3627845 – Information Disclosure in SAP GUI for Windows
CVSS v3.0 Base Score: 4,5 / 10 (Medium)
SAP GUI for Windows może pozwolić na wyciek skrótów NTML, gdy określone usługi frontonu ABAP są wywoływane ze ścieżkami UNC. Aby atak się powiódł, atakujący potrzebuje autoryzacji programisty w określonym serwerze aplikacji ABAP, aby wprowadzić zmiany w kodzie, a ofiara musi je wykonać za pomocą interfejsu SAP GUI dla systemu Windows. Może to uruchomić automatyczne uwierzytelnianie NTLM, potencjalnie ujawniając atakującemu zaszyfrowane dane uwierzytelniające. W rezultacie ma to duży wpływ na poufność.
15. Nota: 3616863 – CRLF Injection vulnerability in SAP S/4HANA (Supplier invoice)
CVSS v3.0 Base Score: 4,3 / 10 (Medium)
SAP S/4HANA Supplier invoice jest podatny na CRLF Injection. Osoba atakująca z uprawnieniami na poziomie użytkownika może ominąć listę dozwolonych i wstawić niezaufane witryny do konfiguracji „Zaufane witryny”, wstrzykując znaki line feed (LF) do danych wejściowych aplikacji. Luka ta ma niewielki wpływ na integralność aplikacji i nie ma wpływu na poufność ani dostępność.
16. Nota: 3577131 – Authorization Bypass vulnerability in SAP NetWeaver [AKTUALIZACJA]
CVSS v3.0 Base Score: 4,3 / 10
SAP NetWeaver pozwala atakującemu na ominięcie kontroli autoryzacji, umożliwiając mu przeglądanie fragmentów kodu ABAP, które normalnie wymagałyby dodatkowej walidacji. Po zalogowaniu się do systemu ABAP atakujący może uruchomić określoną transakcję, która ujawnia wrażliwy kod systemu bez odpowiedniej autoryzacji. Luka ta naraża poufność danych.
17. Nota: 3601480 – Information Disclosure vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform(Internet Communication Manager)
CVSS v3.0 Base Score: 4,1 / 10 (Medium)
SAP NetWeaver Application Server ABAP i ABAP Platform Internet Communication Manager (ICM) umożliwiają autoryzowanym użytkownikom z uprawnieniami administratora i lokalnym dostępem do plików dziennika odczytywanie poufnych informacji, co prowadzi do ich ujawnienia. Prowadzi to do dużego wpływu na poufność aplikacji, bez wpływu na integralność lub dostępność.
18. Nota: 3611345 – Missing authorization check in SAP Cloud Connector
CVSS v3.0 Base Score: 3,5 / 10 (Low)
Z powodu brakującego sprawdzania autoryzacji w SAP Cloud Connector, atakujący w sąsiedniej sieci z niskimi uprawnieniami mógł wysłać spreparowane żądanie do punktu końcowego odpowiedzialnego za testowanie połączeń LDAP. Udany exploit może doprowadzić do zmniejszenia wydajności, a tym samym mieć niewielki wpływ na dostępność usługi. Poufność i integralność danych nie zostały naruszone.
19. Nota: 3624943 – Reverse Tabnabbing vulnerability in SAP Fiori (Launchpad)
CVSS v3.0 Base Score: 3,5 / 10 (Low)
SAP Fiori (Launchpad) jest podatny na podatność Reverse Tabnabbing z powodu nieodpowiednich zabezpieczeń nawigacji zewnętrznej dla elementów linków (). Osoba atakująca z uprawnieniami użytkownika administracyjnego może to wykorzystać, wykorzystując zainfekowane lub złośliwe strony. Podczas gdy dostęp administracyjny jest niezbędny dla niektórych konfiguracji, atakujący nie potrzebuje uprawnień administracyjnych do przeprowadzenia ataku. Może to skutkować niezamierzoną manipulacją sesjami użytkowników lub ujawnieniem poufnych informacji. Problem wpływa na poufność i integralność systemu, ale nie ma wpływu na jego dostępność.
Sierpniowy SAP Security Patch Day – podsumowanie i rekomendacje
Ataki na systemy SAP stają się coraz bardziej wyrafinowane – cyberprzestępcy coraz częściej wykorzystują automatyzację oraz sztuczną inteligencję do szybkiego wyszukiwania i eksploatowania luk. Jeżeli Twoja organizacja korzysta z SAP, musisz zakładać, że może być w ich celowniku nawet w tej chwili.
Sierpniowy pakiet poprawek SAP obejmuje 15 nowych not bezpieczeństwa oraz 4 aktualizacje wcześniej opublikowanych, w tym krytyczne podatności umożliwiające zdalne wykonanie kodu w SAP S/4HANA i SAP Landscape Transformation (CVSS 9.9). Znajdziemy w nim również poprawki dla SAP GUI, SAP Cloud Connector i modułów odpowiedzialnych za autoryzację. Skala i waga tych poprawek sprawia, że szybkie działanie jest absolutnie kluczowe dla minimalizacji ryzyka incydentów.
Jak zabezpieczyć swoje środowisko SAP? Wdrażanie poprawek bezpieczeństwa wymaga staranności i dobrze zaplanowanego procesu. Oto kluczowe kroki:
- Inwentaryzacja systemów SAP – zidentyfikuj, które z opublikowanych poprawek dotyczą Twojej infrastruktury.
- Priorytetyzacja – w pierwszej kolejności zaadresuj podatności o najwyższym wskaźniku CVSS.
- Testy przed wdrożeniem – zastosuj poprawki w środowisku testowym, aby wyeliminować ryzyko problemów w produkcji.
- Plan awaryjny – przygotuj procedury wycofania zmian w razie nieprzewidzianych komplikacji.
- Monitoring po wdrożeniu – obserwuj systemy, aby upewnić się, że działają stabilnie i bezpiecznie.
Potrzebujesz wsparcia? Zespół SNOK jest do Twojej dyspozycji! Bezpieczeństwo SAP to obszar, w którym liczy się czas, wiedza i doświadczenie. Nasi eksperci mogą wesprzeć Twoją organizację w:
- analizie podatności pod kątem Twojego środowiska,
- planowaniu i realizacji bezpiecznego wdrożenia poprawek,
- testach przedprodukcyjnych i pełnej weryfikacji systemu po aktualizacji,
- stałym monitoringu bezpieczeństwa SAP.
Nie czekaj, aż hakerzy wykorzystają znane luki bezpieczeństwa – skontaktuj się z nami już dziś, aby kompleksowo zabezpieczyć swoje krytyczne systemy SAP.