SAP выпустила финальный патч 2025 года: эксперт Тимур Цыбденов о наиболее критических уязвимостях

SAP выпустила финальный патч 2025 года: эксперт Тимур Цыбденов о наиболее критических уязвимостях

SAP выпустила финальный в этом году пакет обновлений безопасности. Были закрыты 14 новых уязвимостей и обновлены три ранее опубликованных бюллетеня безопасности.

Выпущенные исправления распространяются на ряд ключевых продуктов SAP, включая Solution Manager, Commerce Cloud, SDK for ASE и Business One. Среди обнаруженных проблем ведущий инженер компании «Газинформсервис» и эксперт SafeERP Тимур Цыбденов выделил четыре критических и пять уязвимостей высокой степени опасности.

Самые опасные из обнаруженных уязвимостей получили максимальные оценки по шкале CVSS — 9.1 балла и выше — их эксплуатация напрямую угрожает всем аспектам безопасности данных: конфиденциальности, целостности и доступности систем.

Ведущий инженер компании «Газинформсервис» отметил, что наиболее опасной может оказаться критическая уязвимость CVE-2025-42880 (CVSS 9.9) — инъекция кода в SAP Solution Manager (SolMan). «Поскольку SolMan служит центральным инструментом для управления всем SAP-ландшафтом, компрометация этой системы даёт атакующему ключи ко всему цифровому бизнесу компании. Тот факт, что для атаки нужна аутентификация, не является серьёзным барьером — в корпоративной среде тысячи учётных записей. Воспользовавшись недостаточной проверкой входных данных, злоумышленник через HTTP-запрос может внедрить и выполнить произвольный код с привилегиями самого SolMan. Это открывает путь к краже критичных данных, изменению конфигураций всей экосистемы и распространению вредоносного ПО на связанные системы», — отметил эксперт. 

Тимур Цыбденов также отметил, что стоит обратить внимание на критическую уязвимость CVE-2025-55754 (CVSS 9.6) — комплекс уязвимостей в Apache Tomcat для SAP Commerce Cloud. «Сама по себе уязвимость CVE-2025-55754, связанная с обработкой ANSI-последовательностей в логах, имеет низкую оценку, но основная угроза возникает при связке с CVE-2025-55752 (уязвимость обхода путей Apache Tomcat), что может привести к компрометации сервера. Это уже третий критический патч для Tomcat в 2025 году, демонстрирующий повторяющийся риск утечек данных, RCE и DoS-атак через этот компонент», — добавляет он. 

Ещё одна критическая уязвимость, выделенная экспертом, это десериализации в SAP jConnect для SAP ASE — CVE-2025-42928 (CVSS 9.1): «SAP jConnect позволяет Java-приложениям подключаться к базе данных SAP Adaptive Server Enterprise (SAP ASE), и через него может проходить чувствительная для бизнеса информация. Уязвимость возникает, когда программное обеспечение некорректно обрабатывает десериализацию недоверенных входных данных. Успешная эксплуатация уязвимости злоумышленником с высокими привилегиями приводит к удалённому выполнению вредоносного кода (RCE)». 

Так, уязвимости высокой степени серьёзности в основном представляют угрозы отказа в обслуживания (DoS) и обхода проверок авторизации. Они сконцентрированы в критически важных компонентах инфраструктуры SAP: платформе NetWeaver, шлюзах Web Dispatcher и Internet Communication Manager (ICM), SAP Content Server и системе Business Objects. Наиболее значимая из них — CVE-2025-42878 (CVSS 8.2). Проблема связана с недокументированными тестовыми интерфейсами в Web Dispatcher и ICM, через которые неаутентифицированные злоумышленники могут получить доступ к диагностическим данным, отправлять вредоносные запросы или нарушать работу сервисов. 

«Единственной эффективной защитой от эксплуатации известных уязвимостей остаётся регулярное обновление систем и своевременное применение патчей. Любая задержка в применении обновлений многократно повышает риск успешной атаки на корпоративные системы», — подытожил эксперт SafeERP.