SAP xavfsizlik yangilanishi orqali bir necha mahsulotlarda 19 ta zaiflik tuzatildi

Zamonaviy axborot texnologiyalari dunyosida kiberxavfsizlik har qachongidan ham muhim ahamiyat kasb etmoqda. SAP kompaniyasi 2025-yil fevral oyi uchun xavfsizlik yangilanishlarini e’lon qilib, o‘z mahsulotlarida aniqlangan 19 ta yangi zaiflikni bartaraf etishga qaratilgan xavfsizlik yangilanishlarini chiqardi.

Ushbu xavfsizlik yangilanishi orasida SAP NetWeaver, SAP BusinessObjects, SAP Commerce va boshqa platformalardagi muhim xavfsizlik muammolari hal qilingan. Tuzatilgan zaifliklar orasida cross-site scripting (XSS), autentifikatsiyani chetlab o‘tish va noto‘g‘ri avtorizatsiya muammolari mavjud. SAP barcha foydalanuvchilarni ushbu yangilanishlarni imkon qadar tezroq o‘rnatishga chaqirmoqda, chunki ulardan foydalanish orqali tajovuzkorlar turli xurujlarni amalga oshirishlari mumkin.

SAP tomonidan chiqarilgan xavfsizlik yamoqlari orasida bir nechta muhim zaifliklar ajralib turadi. Quyida ularning ba’zilari haqida batafsil ma’lumot beramiz:

SAP NetWeaver AS Java’da Cross-Site Scripting (CVE-2024-22126)

SAP NetWeaver AS Java (User Admin Application) platformasining 7.50-versiyasida aniqlangan CVE-2024-22126 zaifligi juda jiddiy xavf tug‘diradi. Ushbu XSS (cross-site scripting) zaifligi orqali hujumchilar veb-ilovalarga zararli skriptlarni joylashtirib, foydalanuvchilarning ma’lumotlarini o‘g‘irlashlari yoki tizimga zarar yetkazishlari mumkin. Ushbu zaiflik CVSS tizimida 8.8 ball bilan baholangan va darhol tuzatishni talab qiladi.

SAP BusinessObjects BI Platformasida Noto‘g‘ri Avtorizatsiya (CVE-2025-0064)

SAP BusinessObjects BI Platform’ning Central Management Console qismida CVE-2025-0064 deb nomlangan zaiflik topildi. ENTERPRISE 430 va 2025-versiyalariga ta’sir qiluvchi ushbu xavfli kamchilik CVSS bo‘yicha 8.7 ball bilan baholangan. Zaiflik noto‘g‘ri avtorizatsiya mexanizmi tufayli yuzaga kelgan bo‘lib, tajovuzkorlarga muhim ma’lumotlarga noqonuniy kirish imkoniyatini beradi.

SAP Supplier Relationship Management’ning Master Data Management Catalog’dagi Path Traversal Zaifligi (CVE-2025-25243)

CVE-2025-25243 deb nomlangan ushbu zaiflik SAP Supplier Relationship Management tizimining 7.52-versiyasida aniqlangan. Path Traversal turkumiga kiruvchi ushbu kamchilik CVSS bo‘yicha 8.6 ballga ega bo‘lib, hujumchilarga fayl yo‘llarini manipulyatsiya qilish imkoniyatini beradi. Buning natijasida ma’lumotlar buzilishi yoki ularga ruxsatsiz kirish ehtimoli yuzaga keladi.

SAP Approuter’da Autentifikatsiyani Chetlab O‘tish (CVE-2025-24876)

SAP Approuter kutubxonasining 2.6.1 dan 16.7.1 gacha bo‘lgan versiyalarida CVE-2025-24876 nomli xavfsizlik kamchiligi aniqlandi. Ushbu autentifikatsiyani chetlab o‘tish zaifligi CVSS tizimida 8.1 ballga ega bo‘lib, hujumchilarga zararli avtorizatsiya kodlarini yuborish orqali tizimga ruxsatsiz kirish imkonini beradi. Bu esa ilovalar xavfsizligini jiddiy xavf ostiga qo‘yadi.

SAP Enterprise Project Connection’da Bir Nechta Zaifliklar (CVE-2024-38819)

SAP Enterprise Project Connection 3.0-versiyasida bir vaqtning o‘zida bir nechta xavfsizlik muammolari aniqlandi. CVE-2024-38819 deb nomlangan ushbu muammolar CVSS tizimida 7.5 ball bilan baholangan bo‘lib, tizimning ishonchliligi va ma’lumotlar maxfiyligiga tahdid solishi mumkin.

O‘rta va Past Xavf Darajasidagi Zaifliklar

Yuqoridagi yuqori xavf darajasidagi zaifliklardan tashqari, SAP kompaniyasi quyidagi o‘rta va past darajadagi kamchiliklarni ham bartaraf etdi:

• SAP HANA extended application services’ da Open Redirect (CVE-2025-24868) – CVSS: 7.1
• SAP Commerce Backoffice’ da Clickjacking himoyasi yetishmovchiligi (CVE-2025-24874) – CVSS: 6.8
• SAP NetWeaver Application Server ABAP’da ma’lumotlar oshkor bo‘lishi (CVE-2025-23193) – CVSS: 5.3
• SAP Fiori for ERP’da Cache Poisoning (CVE-2025-23191) – CVSS: 3.1

SAP kompaniyasi barcha foydalanuvchilarga ushbu zaifliklarni imkon qadar tezroq bartaraf etish uchun quyidagi choralarni ko‘rishni tavsiya qiladi:

1. Yangilanishlarni darhol o‘rnatish – SAP mahsulotlari uchun chiqarilgan yangi xavfsizlik yamoqlarini o‘z vaqtida o‘rnatish.
2. Monitoring tizimlarini kuchaytirish – SAP tizimlarida shubhali faoliyatni kuzatish va xavfsizlikni nazorat qilish.
3. Tizimni doimiy ravishda tekshirish – Muammolarni oldindan aniqlash va ularni bartaraf etish uchun xavfsizlik auditlarini o‘tkazish.
4. Foydalanuvchilar va administratorlarni xabardor qilish – Xodimlarga zararli havolalar va fishing hujumlari haqida ma’lumot berish.

SAP kompaniyasi har oy o‘z mahsulotlarining xavfsizlik darajasini oshirish uchun yangi yangilanishlarni chiqaradi. 2025-yil fevral oyidagi xavfsizlik yangilanishlari kiberjinoyatchilarning hujumlarini oldini olish va foydalanuvchilarning ma’lumotlarini himoya qilishga qaratilgan muhim yamoqlarni o‘z ichiga oladi.

Kompaniyalar va tashkilotlar bu yamoqlarni imkon qadar tezroq o‘rnatishlari, tizim xavfsizligini ta’minlash uchun muntazam tekshiruvlar o‘tkazishlari lozim. Aks holda, zaif tizimlar tajovuzkorlarning nishoniga aylanishi mumkin. Zamonaviy axborot texnologiyalari dunyosida kiberxavfsizlik bo‘yicha ehtiyotkorlik va hushyorlik har qanday biznes uchun ustuvor yo‘nalish bo‘lishi kerak.