Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
SAP opublikował czerwcowy pakiet poprawek bezpieczeństwa, usuwając 15 podatności w różnych produktach producenta. Największe znaczenie mają cztery krytyczne luki dotyczące SAP NetWeaver oraz SAP Commerce Cloud, czyli platform powszechnie wykorzystywanych w środowiskach ERP, integracji procesów biznesowych i handlu elektronicznego.
Ze względu na centralną rolę tych rozwiązań w infrastrukturze przedsiębiorstw, podatności w ich komponentach mogą wpływać nie tylko na pojedyncze serwery, ale także na ciągłość działania procesów biznesowych, bezpieczeństwo danych oraz mechanizmy kontroli dostępu.
W skrócie
- SAP zaadresował 15 luk bezpieczeństwa w czerwcowym Security Patch Day.
- Cztery podatności o krytycznym znaczeniu dotyczą SAP NetWeaver i SAP Commerce Cloud.
- Wśród najpoważniejszych problemów znalazły się obejście uwierzytelniania SAML, memory corruption w ABAP, słabość związana ze Spring Security oraz directory traversal w Java Web Container.
- Dodatkowo producent usunął błędy wysokiego, średniego i niskiego ryzyka, w tym SQL injection, XSS, problemy autoryzacyjne i błędy konfiguracyjne.
Kontekst / historia
SAP NetWeaver od lat pozostaje jednym z filarów krajobrazu SAP w przedsiębiorstwach. Odpowiada za warstwę aplikacyjną, integrację systemów, uwierzytelnianie, zarządzanie użytkownikami oraz obsługę danych. Z kolei SAP Commerce Cloud wspiera sprzedaż cyfrową, katalogi produktów, konta klientów oraz procesy zakupowe w modelach B2B i B2C.
To sprawia, że luki w tych systemach mają znaczenie strategiczne. Problemy bezpieczeństwa mogą dotyczyć zarówno wewnętrznych procesów biznesowych, jak i usług dostępnych publicznie, szczególnie w obszarze logowania, autoryzacji oraz przetwarzania danych klientów.
Analiza techniczna
Najpoważniejszą luką w zestawie jest CVE-2026-44748 o ocenie CVSS 9.9. Podatność dotyczy XML Signature Wrapping w uwierzytelnianiu SAML w SAP NetWeaver AS ABAP i ABAP Platform. Tego typu błąd może umożliwić wykorzystanie poprawnie podpisanego komunikatu XML i zmianę jego treści w sposób akceptowany przez komponent weryfikujący, co zwiększa ryzyko obejścia federacyjnego uwierzytelniania.
Drugą krytyczną podatnością jest CVE-2026-27671 z oceną CVSS 9.8. Problem dotyczy memory corruption w Application Server ABAP dla SAP NetWeaver i ABAP Platform. Z informacji producenta wynika, że podatność może być wykorzystywana bez uwierzytelnienia za pomocą odpowiednio spreparowanych żądań RFC kierowanych do podatnych punktów końcowych.
Kolejna istotna luka, CVE-2026-22732 o ocenie 9.1, dotyczy mechanizmów Spring Security w SAP Commerce Cloud oraz SAP Data Hub. Ponieważ komponent ten odpowiada za egzekwowanie polityk dostępu, potencjalna słabość może wpływać na kontrolę dostępu do zasobów biznesowych i logikę autoryzacji.
Czwarta krytyczna podatność, CVE-2026-40128 o ocenie 9.0, obejmuje directory traversal w SAP NetWeaver Application Server Java, konkretnie w komponencie Web Container. W praktyce może to prowadzić do dostępu do plików poza przewidzianym katalogiem roboczym aplikacji, a w konsekwencji do ujawnienia danych konfiguracyjnych lub innych wrażliwych zasobów.
Poza lukami krytycznymi SAP usunął również dwa problemy wysokiego ryzyka. Obejmują one błędy Apache Tomcat w SAP Commerce Cloud oraz brak odpowiedniej kontroli autoryzacji w SAP NetWeaver AS ABAP. Pakiet poprawek objął również dodatkowe słabości, takie jak SQL injection, reflected XSS, path traversal, email spoofing oraz błędy związane z konfiguracją bezpieczeństwa.
Konsekwencje / ryzyko
Dla organizacji korzystających z podatnych wersji konsekwencje mogą być poważne. W przypadku SAP NetWeaver i ABAP Platform skuteczny atak może przełożyć się na naruszenie procesów finansowych, logistycznych, kadrowych oraz integracyjnych. Szczególnie groźne są luki pozwalające na obejście uwierzytelniania lub wykorzystanie błędu bez wcześniejszego logowania.
W środowiskach opartych na SAP Commerce Cloud zagrożenia obejmują ryzyko naruszenia danych klientów, manipulacji procesami zakupowymi, nieautoryzowanego dostępu do katalogów produktów oraz zakłócenia działania usług e-commerce. Ataki na warstwę autoryzacji i aplikacji mogą prowadzić do pełnoskalowego incydentu bezpieczeństwa przy stosunkowo niskim progu wejścia dla napastnika.
Dodatkowym wyzwaniem jest fakt, że szczegółowe informacje dotyczące mitygacji i wdrażania poprawek są często publikowane w kanałach wsparcia producenta. Organizacje bez sprawnego procesu monitorowania biuletynów bezpieczeństwa mogą reagować z opóźnieniem, co zwiększa ekspozycję na ryzyko.
Rekomendacje
Organizacje wykorzystujące SAP NetWeaver, ABAP Platform, SAP Commerce Cloud i powiązane komponenty powinny potraktować ten zestaw poprawek priorytetowo. W pierwszej kolejności należy zidentyfikować wszystkie instancje objęte aktualizacją i potwierdzić, które systemy wykorzystują SAML, RFC, komponenty Java oraz publiczne interfejsy aplikacyjne.
- Niezwłocznie wdrożyć poprawki dla CVE-2026-44748, CVE-2026-27671, CVE-2026-22732 i CVE-2026-40128.
- Zweryfikować konfigurację SAML i sposób walidacji podpisów XML.
- Ograniczyć ekspozycję endpointów RFC wyłącznie do zaufanych segmentów sieci.
- Przeprowadzić przegląd uprawnień i reguł autoryzacji w systemach ABAP.
- Wykonać audyt komponentów Java Web Container pod kątem dostępu do plików i ścieżek.
- Sprawdzić bezpieczeństwo wdrożeń Commerce Cloud wykorzystujących Spring Security.
- Monitorować logi pod kątem anomalii w żądaniach uwierzytelniających, RFC i prób directory traversal.
- Przeprowadzić testy regresji bezpieczeństwa po wdrożeniu aktualizacji.
W bardziej dojrzałych środowiskach warto dodatkowo skorelować logi SAP z systemami SIEM, skupić monitoring na kontach uprzywilejowanych oraz potwierdzić, że segmentacja sieci ogranicza możliwość dalszego ruchu atakującego po ewentualnym przełamaniu zabezpieczeń.
Podsumowanie
Czerwcowy pakiet poprawek SAP pokazuje, że środowiska ERP i platformy handlowe nadal pozostają atrakcyjnym celem ataków wymierzonych w uwierzytelnianie, autoryzację i bezpieczeństwo warstwy aplikacyjnej. Najważniejsze luki dotyczą SAP NetWeaver i SAP Commerce Cloud, a ich wpływ może obejmować obejście mechanizmów dostępu, naruszenie integralności procesów oraz ujawnienie danych.
Dla zespołów bezpieczeństwa i administratorów SAP oznacza to konieczność szybkiego patchowania, weryfikacji konfiguracji i zwiększenia monitoringu systemów krytycznych biznesowo. Priorytetowe potraktowanie tych aktualizacji może znacząco ograniczyć ryzyko incydentu w kluczowych środowiskach organizacji.