SAP закрывает три критические дыры с оценкой риска выше девяти баллов

Июльский пакет обновлений безопасности от SAP принёс администраторам не самые приятные новости. Среди множества исправленных уязвимостей нашлись три критические — с оценками по шкале CVSS от 9.1 до 9.9. Активной эксплуатации в реальных атаках пока не зафиксировано, но специалисты компании Onapsis, которая специализируется на защите SAP-систем, советуют не тянуть с патчами.
Самая опасная дыра получила идентификатор CVE-2026-44747 и оценку 9.9 из 10 возможных. Она сидит в SAP NetWeaver Application Server ABAP и представляет собой ошибку записи за пределами буфера. Проблема в том, что аутентифицированный злоумышленник может воспользоваться логическими ошибками в управлении памятью и добиться её повреждения. Дальше — как повезёт атакующему: можно получить доступ к чужим данным, изменить их или вовсе вывести систему из строя.
Onapsis предложила временный обходной путь через транзакцию SICF — отключение всех ICF-узлов с определённым свойством. Правда, у этого решения есть неприятный побочный эффект: пропадает возможность открывать транзакции через SAP GUI for HTML. Для многих клиентов это неприемлемо, поэтому в компании прямо говорят — лучше сразу ставить патченную версию ABAP Kernel, а не полагаться на костыль с отключением узлов.
Вторая уязвимость касается SAP Approuter — CVE-2026-27690 с оценкой 9.1. Здесь речь идёт о так называемом HTTP-смаггинге, контрабанде запросов и ответов. Проблема актуальна для развёртываний Approuter вне Cloud Foundry. Атакующему даже не нужна учётная запись — достаточно отправить специально сформированный HTTP-запрос, чтобы вызвать десинхронизацию между запросом и ответом. Итог может быть двояким: либо утечка чужих пользовательских ответов, либо полноценная атака отказа в обслуживании.
Третий случай — CVE-2026-44761, тоже 9.1 балла, и он, пожалуй, самый показательный с точки зрения того, как рождаются уязвимости. Проблема затрагивает SAP Commerce Cloud и связана с использованием учётных данных по умолчанию. История здесь длинная: SAP в своё время опубликовала на портале SAP Help Portal образец скрипта конфигурации для разработки и тестирования. Скрипт создавал OAuth 2.0-клиент с жёстко прописанными, хорошо известными учётными данными.
Задумывался он исключительно для тестовых сред. Но в старых версиях документации явного предупреждения о том, что этот образец нельзя переносить в продакшн, не было. Результат предсказуем — часть клиентов запустила скрипт и оставила полученного клиента в боевой среде, не заменив секрет на уникальный.
В описании из базы NIST National Vulnerability Database ситуация обрисована прямо: «Если оставить без изменений, неаутентифицированный атакующий может воспользоваться этими широко известными учётными данными, чтобы получить действительный токен доступа и вызывать определённые API для чтения и изменения данных». И далее: «Успешная эксплуатация приводит к серьёзным последствиям для конфиденциальности и целостности данных, при этом на доступность системы влияния не оказывается».
Механика атаки простая до неприличия. Злоумышленник берёт публично доступные данные для входа, получает токен доступа и с его помощью дёргает конкретные API, читая и меняя информацию в системе. Для успеха атаки нужно всего два условия со стороны жертвы: клиент должен был запустить тот самый образец скрипта и оставить полученного OAuth-клиента в продакшене без замены секрета.
Соответственно, под удар не попадают те, кто вообще не использовал образец конфигурации либо удалил созданного им клиента, или же заменил хардкодный секрет на собственный надёжный. SAP и Onapsis рекомендуют клиентам провести аудит производственных сред на предмет наличия этого образца OAuth 2.0-клиента и, если он найден, удалить его без промедления.
Если свести три уязвимости в одну таблицу, картина получается такая: NetWeaver AS ABAP с ошибкой записи за пределами буфера и требованием аутентификации (9.9 балла), Approuter вне Cloud Foundry с HTTP-смаггингом без всякой аутентификации (9.1) и Commerce Cloud с учётными данными по умолчанию, тоже доступный неаутентифицированному злоумышленнику (9.1). Общий знаменатель у всех трёх — отсутствие подтверждённых атак на данный момент, но при таких показателях CVSS откладывать установку патчей и проверку окружений, особенно по истории с OAuth в Commerce Cloud, специалисты не советуют.


Новое на сайте

Ссылка