Luki bezpieczeństwa w systemach SAP

W ostatnim roku ponad 20 razy włamałem się do systemów SAP. Oczywiście jako etyczny haker, w ramach testów bezpieczeństwa. Regularnie obserwuję, jak podatności w SAP, zwłaszcza te o najwyższym możliwym poziomie krytyczności – CVSS 10, realnie zagrażają biznesowi. CVSS 10 to nie jest tylko abstrakcyjne oznaczenie. To czytelny sygnał: atakujący może przejąć pełną kontrolę nad całym systemem, często zdalnie i bez żadnych uprawnień. A mówimy o środowisku, które obsługuje kluczowe procesy finansowe, produkcyjne czy logistyczne. Jedna luka może więc oznaczać zatrzymanie działalności, utratę danych albo poważne problemy ze zgodnością z różnymi systemami oraz ciągłością biznesu. O utracie reputacji już nie wspominając.

SAP jest oprogramowaniem tak samo podatnym na błędy, jak każde inne. Różnica polega na tym, że skala ryzyka jest dużo większa – bo to system centralny. Nowe podatności pojawiają się praktycznie co miesiąc, często od razu z gotowymi exploitami, które może wykorzystać nawet mało doświadczony atakujący, tzw. script kiddie. A poprawki bezpieczeństwa wdrażane są z opóźnieniem albo tylko częściowo. W efekcie firmy, które „czują się bezpiecznie”, często są najbardziej narażone. Dopóki nie wykonasz testów penetracyjnych, nie masz pojęcia, jak naprawdę wygląda twoje bezpieczeństwo.

Zdecydowanie tak. To jedyny skuteczny sposób, żeby dowiedzieć się, gdzie naprawdę masz luki. Automatyczne skanery są pomocne, ale w przypadku SAP często nie wystarczą – wiele słabości wymaga manualnego podejścia i znajomości środowiska. Tu działa prosta zasada: kto pierwszy znajdzie lukę, ten wygrywa. Lepiej, żeby zrobił to nasz zespół pentesterów, etycznych hakerów, niż ktoś, kto nie ma dobrych intencji.

Minimum raz na kwartał, a najlepiej cyklicznie, po każdej większej zmianie lub aktualizacji. Ważne jest też łączenie automatycznych skanów z testami manualnymi i analiza konfiguracji, bo sporo błędów wynika po prostu z nieprawidłowych ustawień. Nie można też zapominać o szkoleniu administratorów – wiele podatności, które jako etyczni hakerzy wykorzystujemy podczas testów, to banalne błędy konfiguracyjne.

Wymieńmy kilka najgroźniejszych luk w SAP – wszystkie z kończącego się 2025 r. i wszystkie z kategorii najbardziej krytycznych podatności (CVSS 10/9.x).

CVE‑2025‑31324 w NetWeaver Visual Composer – luka typu zero‑day, Remote Code Execution. Od marca 2025 obserwujemy masowe ataki na środowiska produkcyjne SAP. Luka umożliwia atak bez uwierzytelnienia, wystarczy złośliwy POST request HTTP, żeby wgrać webshella i przejąć pełną kontrolę na poziomie sidadm. Exploit jest publiczny, podatne są popularne wersje NetWeaver 7.x.

CVE‑2025‑30012 w SAP SRM Live Auction Cockpit. To bardzo krytyczna luka na nieautoryzowaną deserializację Java w SRM_SERVER 7.14. Nadal często spotykam środowiska z przestarzałymi apletami Java. Podatność daje atakującemu zdalny RCE po przesłaniu spreparowanego obiektu binarnego. Jedyny ratunek to natychmiastowa migracja i usunięcie tych komponentów.

CVE‑2025‑42957 w SAP S/4HANA, iniekcja ABAP (CVSS 9.9) – dotyczy praktycznie każdej wersji S/4HANA (cloud/on-premise). Atak jest możliwy przy minimalnych uprawnieniach. Luka w komunikacji RFC pozwala na utworzenie nowych kont administracyjnych i wyciągnięcie haseł, a nawet przejęcie systemu. Są już potwierdzone ataki z wyciekiem danych i ransomware.

NetWeaver Portal – korelowane luki deserializacji (CVSS 9.1). Pozwalają na wykonanie własnego kodu Java z uprawnieniami administratora, kradzież poświadczeń i manipulację danymi. W praktyce prowadzą do utraty pełnej kontroli nad portalem. Kluczowe CVE (Common Vulnerabilities and Exposures, czyli powszechne podatności i zagrożenia) to: 42980, 42964, 42966, 42963.

To nie są teoretyczne scenariusze – w naszej pracy widzieliśmy udane ataki z wykorzystaniem każdej z tych podatności.

Przede wszystkim, wykonujmy regularne testy penetracyjne i skany podatności – najlepiej zewnętrzne, by spojrzeć na środowisko świeżym okiem. Łączmy wykorzystanie automatyki z pracą manualną. SAP wymaga wiedzy i intuicji, których nie zastąpi żaden skaner. Nie zaniedbujmy szkoleń administratorów i użytkowników technicznych – większość krytycznych błędów to błędy ludzkie. Kolejną dobrą praktyką powinno być ciągłe monitorowanie i natychmiastowe reagowanie – na przykład poprzez włączenie logowania bezpieczeństwa (Security Audit Log) i analizę alertów.

I na koniec najważniejsze. Nie czekaj na incydent. W SAP-ie czas reakcji jest kluczowy. Każda luka wykryta przed atakiem to realne oszczędności i mniejsze ryzyko dla biznesu.

SAP jako system nie jest wyjątkowy pod względem podatności – wyjątkowa jest skala skutków ataku. Bo jest to system, który często „trzyma” cały biznes – finanse, łańcuch dostaw, HR. Przejęcie SAP-a to dla cyberprzestępcy złoty bilet. Dlatego powtarzam: nawet jeśli wydaje się, że „nas to nie dotyczy” – to właśnie znaczy, że dotyczy.

Regularne pentesty, skany, szkolenia i szybka reakcja na biuletyny bezpieczeństwa to dziś nie „fanaberia IT”, ale obowiązek każdej firmy, która traktuje bezpieczeństwo biznesu poważnie.

Rozmawiała Mirosława Huk

Common Vulnerability Scoring System (CVSS) to otwarta platforma oceny stopnia zagrożenia luk w zabezpieczeniach komputerowych, która zapewnia punktację liczbową od 0,0 do 10,0. System CVSS, zarządzany przez organizację non-profit FIRST, wykorzystuje zestaw metryk do pomiaru podatności na wykorzystanie luk i ich wpływu, pomagając organizacjom priorytetyzować działania naprawcze w oparciu o ryzyko.

CVSS 10 to najwyższa możliwa ocena w systemie Common Vulnerability Scoring System, oznaczająca krytyczną lukę w zabezpieczeniach, która jest najpoważniejsza i wymaga natychmiastowej uwagi. Taki wynik wskazuje na podatność o bardzo wysokim wpływie na poufność, integralność i dostępność systemu, często pozwalającą na zdalne wykonanie kodu bez uwierzytelniania.