SAP S/4HANA Kritik Kod Enjeksiyon Açığı: CVE-2025-42957

1. Genel Bakış ve Önem

CVE-2025-42957, SAP S/4HANA (hem Private Cloud hem de On-Premise) sistemlerinde kritik bir ABAP kod enjeksiyon açığıdır.

• Düşük ayrıcalıklı bir kullanıcı hesabı üzerinden, RFC (Remote Function Call) modüllerindeki güvenlik açığı kullanılarak kötü niyetli ABAP kodu enjekte edilebilir.
• Bu sayede saldırgan sistemde tam yetki kazanabilir.

🔴 CVSS skoru 9.9 (Kritik) olarak değerlendirilmiştir.

---

2. Teknik Detaylar ve Etki Mekanizması

Zafiyetin temelinde yetersiz girdi doğrulama yer alır.

Saldırgan şunları yapabilir:

• Yeni bir SAP_ALL yetkili kullanıcı oluşturabilir,
• Veritabanındaki verileri silebilir, değiştirebilir veya dışa aktarabilir,
• SAP şifre hash’lerini ele geçirebilir,
• İş süreçlerini manipüle edebilir veya durdurabilir.

Bu durum, hem SAP uygulama katmanında hem de işletim sisteminde tam ele geçirmeye yol açar.

📌 Saldırı koşulları:

• Düşük ayrıcalıklı bir kullanıcı hesabı yeterlidir,
• Kullanıcı etkileşimi gerekmez,
• Uzaktan ağ üzerinden çalıştırılabilir.

---

3. Keşif ve Açıklık Süreci

• Açığı SecurityBridge Threat Research Labs tespit etti.
• SAP’ye 27 Haziran 2025 tarihinde bildirildi.
• SAP, 12 Ağustos 2025 güvenlik yamalarıyla açığı kapattı:
  • Note 3627998 → CVE-2025-42957
  • Note 3633838 → CVE-2025-42950 (ilgili SLT/DMIS açığı)

---

4. Aktif İstismar Durumu

• Açık, aktif olarak suistimal edilmektedir.
• ABAP kodunun açık yapısı nedeniyle, yamadan sonra bile exploit geliştirilmesi oldukça kolaydır.
• Hollanda NCSC ve güvenlik firmaları (SecurityBridge, Pathlock, DarkReading) sahada istismar girişimlerini doğrulamıştır.

---

5. İş Etkisi

SAP S/4HANA birçok kurumun finans, lojistik ve operasyonel süreçlerinin kalbinde yer alır.
Bu açıktan etkilenmek şu riskleri doğurur:

• Finansal ve operasyonel verilerin manipülasyonu,
• Yetkili arka kapı kullanıcıların oluşturulması,
• Ransomware saldırıları veya zararlı kod yerleştirme,
• İş sürekliliğini tehlikeye atan kesintiler.

---

6. Müdahale & Önerilen Güvenlik Adımları

A) Acilen Yama Uygulama

• SAP Note 3627998 (CVE-2025-42957) hemen uygulanmalı.
• SLT/DMIS ortamı varsa Note 3633838 (CVE-2025-42950) da yüklenmeli.

B) UCON ve Yetki Kısıtlamaları

• SAP UCON ile sadece gerekli RFC fonksiyonlarına izin verin.
• Authorization objesi S_DMIS (activity 02) erişimlerini sıkılaştırın.

C) Loglama & İzleme

• Şüpheli RFC çağrılarını, yeni yönetici kullanıcı oluşumlarını ve ABAP kod değişikliklerini takip edin.
• SAP loglarını SIEM ile ilişkilendirin.

D) Sistem Sertleştirme

• SAP sistemlerini ağ segmentasyonu altında tutun.
• Doğrulanmış yedekleme politikaları uygulayın.
• Enterprise Threat Detection gibi çözümlerle izleme yapın.

E) Geçici Koruma (Virtual Patching)

• SecurityBridge gibi çözümler, yamadan önce bile istismar girişimlerini tespit edebilir.
• Ancak kalıcı çözüm her zaman resmi yamadır.

---

7. Özet Tablosu

Konu	Detay
Zafiyet Türü	ABAP Kod Enjeksiyonu via RFC
Etki Seviyesi	CVSS 9.9 – Kritik
Gereken Kullanıcı	Düşük ayrıcalıklı SAP hesabı
Potansiyel Etki	Tam sistem ele geçirme, veri hırsızlığı, arka kapı kullanıcı oluşturma
Keşif & Yama Tarihleri	27 Haziran 2025 keşif – 12 Ağustos 2025 yama
Aktif Saldırı Durumu	Evet, sahada istismar gözlemlendi
Önerilen Önlemler	Yama, UCON, loglama, yetki kısıtlama, segmentasyon, SIEM

---

Sonuç

CVE-2025-42957, SAP S/4HANA ekosisteminde en tehlikeli zafiyetlerden biridir.

• Düşük ayrıcalıklı bir kullanıcıyla bile tüm sistemin ele geçirilmesine yol açabilir.
• Kurumların acilen yamayı uygulaması ve ek güvenlik tedbirleri alması hayati önemdedir.

---

Kaynaklar

• SecurityBridge – Critical SAP S/4HANA Code Injection Vulnerability (CVE-2025-42957)
• NVD – CVE-2025-42957
• SAP Security Notes – August 2025
• Pathlock – CVE-2025-42957 Advisory
• ZeroPath – CVE-2025-42957 Summary
• HelpNetSecurity – Attackers exploiting CVE-2025-42957
• DarkReading – SAP S/4HANA Vulnerability Under Attack
• TheHackerNews – SAP S/4HANA Critical Vulnerability Exploited
• SAP Community Blog – Protect Your SAP S/4HANA