
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
SAP opublikował lipcowy pakiet poprawek bezpieczeństwa na 2026 rok, usuwając między innymi krytyczną podatność CVE-2026-44747 w SAP NetWeaver Application Server ABAP. Luka otrzymała ocenę CVSS 9.9 i dotyczy błędu typu out-of-bounds write, który może prowadzić do uszkodzenia pamięci oraz naruszenia kluczowych mechanizmów działania aplikacji.
W praktyce oznacza to ryzyko nieautoryzowanego dostępu do danych, ich modyfikacji, a także zakłócenia dostępności systemu. Ze względu na rolę NetWeaver ABAP w wielu środowiskach ERP i aplikacjach biznesowych, problem należy traktować jako incydent o wysokim priorytecie operacyjnym.
W skrócie
- CVE-2026-44747 dotyczy SAP NetWeaver Application Server ABAP i ma ocenę CVSS 9.9.
- Podatność wymaga uwierzytelnienia, ale może prowadzić do memory corruption.
- Skutkiem ataku może być naruszenie poufności, integralności i dostępności danych.
- SAP udostępnił poprawkę, a tymczasowe obejścia są ograniczone i mogą wpływać na funkcjonalność środowiska.
- W tym samym cyklu aktualizacji załatano również krytyczne luki w SAP Approuter i SAP Commerce Cloud.
Kontekst / historia
Podatność została ujawniona w ramach lipcowego Security Patch Day SAP. Oprócz CVE-2026-44747 producent zaadresował również inne istotne problemy bezpieczeństwa, w tym lukę typu HTTP request/response smuggling w SAP Approuter oraz problem z domyślnymi poświadczeniami w SAP Commerce Cloud.
Znaczenie tej aktualizacji wykracza poza pojedynczy komponent. Pokazuje ona, że współczesne ryzyko w środowiskach SAP obejmuje zarówno klasyczne błędy implementacyjne, jak i zagrożenia wynikające z nieprawidłowej konfiguracji, pozostawionych ustawień testowych oraz niewystarczającej kontroli nad wdrożeniami produkcyjnymi.
W przypadku NetWeaver ABAP stawka jest szczególnie wysoka, ponieważ platforma ta pozostaje fundamentem wielu procesów biznesowych, finansowych, logistycznych i kadrowych. Nawet luka wymagająca uwierzytelnienia może więc stanowić poważne zagrożenie, jeśli w środowisku funkcjonują liczne konta techniczne, integracje i interfejsy usługowe.
Analiza techniczna
CVE-2026-44747 została opisana jako podatność typu out-of-bounds write. Tego rodzaju błąd występuje, gdy proces zapisuje dane poza dozwolonym obszarem pamięci, co może naruszyć strukturę pamięci procesu i doprowadzić do niestabilności działania aplikacji.
W środowisku produkcyjnym skutki takiego błędu mogą obejmować nieprzewidywalne zachowanie systemu, awarie, uszkodzenie danych lub stworzenie warunków do dalszej eskalacji wpływu ataku. W tym przypadku podatność może zostać wykorzystana przez uwierzytelnionego atakującego, który nadużyje błędów logicznych w mechanizmach zarządzania pamięcią.
Efektem jest memory corruption, która może otworzyć drogę do nieautoryzowanego odczytu informacji, zmiany danych aplikacyjnych albo wywołania niedostępności systemu. Dla organizacji korzystających z SAP oznacza to ryzyko bezpośredniego wpływu na kluczowe procesy biznesowe i ciągłość operacyjną.
Jako działanie tymczasowe wskazano możliwość wyłączenia określonych węzłów ICF w transakcji SICF. Nie jest to jednak rozwiązanie uniwersalne, ponieważ może ograniczyć działanie SAP GUI for HTML i wpłynąć na dostępność części funkcji biznesowych. Z tego powodu obejście powinno być traktowane wyłącznie jako środek przejściowy, a nie alternatywa dla właściwego patchowania.
W tym samym pakiecie aktualizacji SAP usunął również inne krytyczne luki:
- CVE-2026-27690 o ocenie CVSS 9.1 w SAP Approuter, związaną z desynchronizacją żądań i odpowiedzi HTTP.
- CVE-2026-44761 o ocenie CVSS 9.1 w SAP Commerce Cloud, dotyczącą pozostawienia przykładowego klienta OAuth 2.0 z publicznie znanymi danymi uwierzytelniającymi.
Drugi z tych przypadków podkreśla, że istotna część ryzyka w środowiskach korporacyjnych nie wynika wyłącznie z kodu, lecz również z przenoszenia konfiguracji demonstracyjnych lub testowych do środowisk produkcyjnych bez odpowiedniego hardeningu.
Konsekwencje / ryzyko
Najważniejszym ryzykiem związanym z CVE-2026-44747 jest możliwość naruszenia trzech podstawowych atrybutów bezpieczeństwa: poufności, integralności i dostępności. W systemach SAP może to oznaczać nie tylko incydent techniczny, ale również realny problem biznesowy obejmujący przestoje, błędne dane oraz zakłócenie procesów operacyjnych.
- Odczyt wrażliwych danych biznesowych i aplikacyjnych.
- Nieautoryzowaną zmianę rekordów w systemie.
- Zakłócenie działania krytycznych procesów biznesowych.
- Awarie komponentów aplikacyjnych i przestoje operacyjne.
Fakt, że podatność wymaga uwierzytelnienia, nie eliminuje zagrożenia. W rozbudowanych krajobrazach SAP często funkcjonują konta uprzywilejowane, konta serwisowe oraz interfejsy integracyjne, które mogą stać się wektorem nadużycia. Każdy przejęty lub niewłaściwie zabezpieczony punkt dostępu zwiększa prawdopodobieństwo skutecznego wykorzystania luki.
Brak informacji o aktywnym wykorzystaniu w momencie publikacji również nie powinien usypiać czujności. Krytyczne podatności w powszechnie używanych rozwiązaniach SAP szybko trafiają do analiz badaczy bezpieczeństwa i zespołów ofensywnych, a opóźnienia w patchowaniu mogą znacząco podnieść poziom ekspozycji organizacji.
Rekomendacje
Organizacje korzystające z SAP NetWeaver ABAP powinny potraktować aktualizację jako pilną i uruchomić standardową ścieżkę reagowania na krytyczne podatności. Kluczowe jest nie tylko wdrożenie poprawki, ale też ocena ekspozycji oraz przygotowanie zespołów operacyjnych na ewentualne skutki uboczne i działania detekcyjne.
- Niezwłocznie zastosować oficjalną poprawkę i zaktualizować odpowiednią wersję ABAP Kernel.
- Zidentyfikować wszystkie instancje SAP NetWeaver ABAP w środowiskach produkcyjnych, testowych i DR.
- Zweryfikować ekspozycję przez interfejsy webowe, ICF oraz SAP GUI for HTML.
- Rozważyć obejście tylko tymczasowo i po analizie wpływu na procesy biznesowe.
- Przeanalizować logi bezpieczeństwa oraz monitoring pod kątem anomalii, awarii i nietypowych operacji na danych.
- Przeprowadzić przegląd kont uprzywilejowanych, technicznych i integracyjnych.
- Równolegle wdrożyć poprawki dla SAP Approuter i SAP Commerce Cloud, jeśli komponenty te występują w środowisku.
- Skontrolować konfiguracje produkcyjne pod kątem przykładowych klientów OAuth, domyślnych sekretów i obiektów testowych.
- Zaktualizować procedury hardeningu oraz polityki wdrożeniowe.
Z perspektywy SOC i administratorów SAP warto przygotować scenariusze detekcji obejmujące nagłe błędy aplikacyjne, nieoczekiwane restarty usług, niestandardowe operacje uwierzytelnionych użytkowników oraz nietypowe wzorce wywołań interfejsów.
Podsumowanie
Lipcowe poprawki SAP z 2026 roku usuwają kilka istotnych podatności, ale najpoważniejszą z nich jest bez wątpienia CVE-2026-44747 w SAP NetWeaver Application Server ABAP. Ze względu na ocenę CVSS 9.9, możliwość naruszenia danych oraz ryzyko niedostępności systemu, luka powinna zostać zaadresowana w trybie priorytetowym.
Dla organizacji korzystających z ekosystemu SAP to kolejny sygnał, że skuteczne bezpieczeństwo wymaga nie tylko szybkiego patchowania, ale również ścisłej kontroli konfiguracji, ekspozycji usług i zarządzania kontami technicznymi. W praktyce to właśnie połączenie aktualizacji, monitoringu i hardeningu decyduje o realnej odporności środowiska.