SAP – Avgust xavfsizlik yangilanishida 15 ta zaiflik bartaraf etildi, uchtasi juda xavfli injeksiya zaifligi

2025-yil 12-avgust kuni SAP kompaniyasi o‘zining korporativ dasturiy mahsulotlaridagi 15 ta yangi zaiflikni tuzatadigan keng qamrovli xavfsizlik yangilanishini e’lon qildi. Ulardan 3 tasi juda xavfli kod injeksiya zaifliklari bo‘lib, ular orqali butun tizimlar masofadan turib boshqarib olinishi mumkin.

Bu oylik Security Patch Day doirasida SAP avval chiqarilgan to‘rt xavfsizlik eslatmasini ham yangiladi. Bu kompaniyaning korporativ ilovalarida paydo bo‘layotgan yangi xavflarga tezkor javob berishga qanchalik jiddiy yondashayotganini ko‘rsatadi.

Asosiy xavf – kod injeksiyasi orqali tizimni egallash

Eng xavfli topilmalardan biri bu SAP S/4HANA va SAP Landscape Transformation platformalaridagi injeksiya zaifliklari bo‘lib, ularning CVSS xavf reytingi maksimal — 9.9 ballga teng.

Ushbu zaifliklar orqali xakerlar:

  • Juda kam huquq bilan tizimga kirishi,
  • Hech qanday foydalanuvchi aralashuvisiz (UI:N) hujumni ishga tushirishi,
  • Masofadan turib istalgan kodni ishga tushirishi mumkin.

Bu esa butun SAP infratuzilmasi va undagi maxfiy biznes ma’lumotlarini to‘liq egallash imkonini beradi.

Uchta tanqidiy zaiflik

  1. CVE-2025-42957 — SAP S/4HANA (Private Cloud va On-Premise) versiyalari S4CORE 102–108 oralig‘ida. Autentifikatsiyadan o‘tgan xaker tizimda o‘z kodini administrator huquqi bilan ishga tushirishi mumkin.
  2. CVE-2025-42950 — SAP Landscape Transformation Analysis Platform (DMIS 2011_1_700 – 2020).
  3. CVE-2025-27429 — Aprel 2025-da e’lon qilingan zaiflikning yangilangan varianti. Bu, dastlabki yamada ba’zi hujum yo‘llari yopilmay qolganini ko‘rsatadi.

Barcha holatlarda zaiflikning asosi – SAP ABAP runtime muhiti foydalanuvchi kiritgan ma’lumotlarni yetarlicha tekshirmasligi. Natijada zararli kod tarmoq orqali yuborilgan interfeyslar orqali kiritilib, tizimda ishga tushishi mumkin.

Boshqa topilgan zaifliklar

Uchta tanqidiy injeksiyadan tashqari, avgust yangilanishida yana ko‘plab muammolar bartaraf etilgan:

  • Avtorizatsiya buzilishi (masalan, CVE-2025-42951 — SAP Business One SLD, CVSS: 8.8)
  • XSS (Cross-Site Scripting) hujumlariga imkon beruvchi xatolar (CVE-2025-42942, CVE-2025-42948 va boshqalar)
  • Ma’lumot oshkor bo‘lishi (CVE-2025-0059, CVE-2025-42943)
  • Directory Traversal va HTML injeksiya zaifliklari (CVE-2025-42946, CVE-2025-42945)
  • Avtorizatsiya tekshiruvi yetishmasligi (CVE-2025-42936, CVE-2025-42949)
  • Reverse Tabnabbing xatolari (CVE-2025-42941 – SAP Fiori Launchpad).

Ko‘pchilik zaifliklarda hujum murakkabligi past (AC:L) va foydalanuvchi huquqlari minimal (PR:L). Bu ularni tajovuzkorlar uchun juda jozibador qiladi. Ayniqsa, “Scope: Changed” (S:C) belgisi bo‘lgan zaifliklar tizimdagi boshqa komponentlarga ham ta’sir qilib, butun infratuzilmani xavf ostiga qo‘yishi mumkin.

SAP foydalanuvchilari uchun tavsiyalar

  • Darhol yangilash — ayniqsa uchta tanqidiy injeksiya zaifligi bo‘yicha xavfsizlik yangilanishlarni kechiktirmaslik.
  • SAP Support Portal orqali mos versiyalarni yuklab olib, ishlab chiqarish va test muhitlariga o‘rnatish.
  • Minimal huquqlar siyosati — foydalanuvchi hisoblariga ortiqcha ruxsat bermaslik.
  • Audit va monitoring — tizim loglarini muntazam tahlil qilib borish.

SAP’ning ushbu avgust yangilanishi nafaqat mavjud xavflarni bartaraf etdi, balki kiberxavfsizlik sohasida bir narsani yana bir bor isbotladi: hatto eng yirik korporativ platformalar ham muntazam va tezkor xavfsizlik yangilanishlarni talab qiladi. Chunki bitta ochiq qolgan zaiflik butun biznes tizimlarini falaj qilishi mumkin.