SAP выпустила финальный патч 2025 года: эксперт SafeERP Тимур Цыбденов о наиболее критических уязвимостях

На этой неделе компания SAP выпустила финальный в этом году пакет обновлений безопасности. Были закрыты 14 новых уязвимостей и обновлены три ранее опубликованных бюллетеня безопасности. Выпущенные исправления распространяются на ряд ключевых продуктов SAP, включая Solution Manager, Commerce Cloud, SDK for ASE и Business One. Среди обнаруженных проблем ведущий инженер компании «Газинформсервис» и эксперт SafeERP Тимур Цыбденов выделил четыре критических и пять уязвимостей высокой степени опасности.

Самые опасные из обнаруженных уязвимостей получили максимальные оценки по шкале CVSS — 9.1 балла и выше — их эксплуатация напрямую угрожает всем аспектам безопасности данных: конфиденциальности, целостности и доступности систем.

Ведущий инженер компании «Газинформсервис» отметил, что наиболее опасной может оказаться критическая уязвимость CVE-2025-42880 (CVSS 9.9) — инъекция кода в SAP Solution Manager (SolMan). «Поскольку SolMan служит центральным инструментом для управления всем SAP-ландшафтом, компрометация этой системы даёт атакующему ключи ко всему цифровому бизнесу компании. Тот факт, что для атаки нужна аутентификация, не является серьёзным барьером — в корпоративной среде тысячи учётных записей. Воспользовавшись недостаточной проверкой входных данных, злоумышленник через HTTP-запрос может внедрить и выполнить произвольный код с привилегиями самого SolMan. Это открывает путь к краже критичных данных, изменению конфигураций всей экосистемы и распространению вредоносного ПО на связанные системы», — отметил эксперт.

Тимур Цыбденов также отметил, что стоит обратить внимание на критическую уязвимость CVE-2025-55754 (CVSS 9.6) — комплекс уязвимостей в Apache Tomcat для SAP Commerce Cloud. «Сама по себе уязвимость CVE-2025-55754, связанная с обработкой ANSI-последовательностей в логах, имеет низкую оценку, но основная угроза возникает при связке с CVE-2025-55752 (уязвимость обхода путей Apache Tomcat), что может привести к компрометации сервера. Это уже третий критический патч для Tomcat в 2025 году, демонстрирующий повторяющийся риск утечек данных, RCE и DoS-атак через этот компонент», — добавляет он.

Ещё одна критическая уязвимость, выделенная экспертом, это десериализации в SAP jConnect для SAP ASE — CVE-2025-42928 (CVSS 9.1): «SAP jConnect позволяет Java-приложениям подключаться к базе данных SAP Adaptive Server Enterprise (SAP ASE), и через него может проходить чувствительная для бизнеса информация. Уязвимость возникает, когда программное обеспечение некорректно обрабатывает десериализацию недоверенных входных данных. Успешная эксплуатация уязвимости злоумышленником с высокими привилегиями приводит к удалённому выполнению вредоносного кода (RCE)».

Так, уязвимости высокой степени серьёзности в основном представляют угрозы отказа в обслуживания (DoS) и обхода проверок авторизации. Они сконцентрированы в критически важных компонентах инфраструктуры SAP: платформе NetWeaver, шлюзах Web Dispatcher и Internet Communication Manager (ICM), SAP Content Server и системе Business Objects. Наиболее значимая из них — CVE-2025-42878 (CVSS 8.2). Проблема связана с недокументированными тестовыми интерфейсами в Web Dispatcher и ICM, через которые неаутентифицированные злоумышленники могут получить доступ к диагностическим данным, отправлять вредоносные запросы или нарушать работу сервисов.

«Единственной эффективной защитой от эксплуатации известных уязвимостей остаётся регулярное обновление систем и своевременное применение патчей. Любая задержка в применении обновлений многократно повышает риск успешной атаки на корпоративные системы», — подытожил эксперт SafeERP.

Вопрос доверия к «железу»: уязвимость RMPocalypse позволяет внедрять код в защищённые системы

Компания AMD — американский производитель интегральных микросхем и электроники — выпустила исправления для уязвимости RMPocalypse. Обнаруженная уязвимость затрагивает механизм AMD SEV-SNP и позволяет осуществлять произвольную запись в таблицу RMP — это серьёзный случай подрыва доверия к аппаратным средствам обеспечения конфиденциальных вычислений, отмечает эксперт и инженер-аналитик компании «Газинформсервис» Александр Катасонов.

Он отмечает, что уязвимость позволяет злоумышленнику вмешиваться в структуру, отвечающую за защитные атрибуты страниц памяти, обходить проверки безопасности и внедрять произвольный код в гостевые системы. Это открывает путь к компрометации критичных данных, даже при задействовании средств аппаратной изоляции, которые до сих пор считались достаточно надёжными.

«Последствия такого нарушения могут быть катастрофическими, особенно для облачных провайдеров, центров обработки данных и любых систем, полагающихся на конфиденциальные вычисления. Поэтому крайне важно не только оперативно применять патчи и обновления от AMD и вендоров платформ, но и постоянно следить за безопасностью своей инфраструктуры, использовать многоуровневые барьеры и мониторинг для защиты от подобных атак в будущем. В этой постоянной гонке со злоумышленниками мы всегда рискуем снова столкнуться с ситуацией, когда заявленные «безопасные» механизмы оказываются точкой входа для злоумышленников», — объясняет эксперт.

Александр Катасонов добавляет, что в этом контексте центр мониторинга и реагирования на инциденты информационной безопасности, такой как GSOC компании «Газинформсервис», обеспечивает комплексный контроль кибербезопасности корпоративных систем, включая анализ инцидентов, обнаружение уязвимостей и реагирование в режиме реального времени. «Благодаря собственным технологиям, лабораториям анализа угроз и интеграции с внутренними SOC-платформами компания помогает организациям своевременно выявлять подобные риски на уровне инфраструктуры и снижать вероятность эксплуатации критических уязвимостей», — подытожил инженер-аналитик.

Ещё больше о кибербезопасности можно узнать из трансляции форума по информационной безопасности GIS DAYS (Global Information Security Days*) — мероприятия, которое ежегодно объединяет экспертов, бизнеса, регуляторов и интеграторов на одной площадке.