SAP łata krytyczne luki w NetWeaver AS Java, Print Service (SAPSprint) i SRM — październikowy Patch Day 2025

Wprowadzenie do problemu / definicja luk

SAP opublikował październikowy zestaw poprawek bezpieczeństwa, obejmujący łącznie kilkanaście nowych i zaktualizowanych not Security Notes. Wśród nich znajdują się trzy krytyczne luki: maksymalnie poważna podatność w NetWeaver AS Java (RMI/P4 — insecure deserialization), krytyczne obejście ścieżek (directory traversal) w SAP Print Service / SAPSprint, oraz poważna podatność w SAP SRM umożliwiająca nieautoryzowany upload plików.

W skrócie

• NetWeaver AS Java (RMI/P4): luka klasy insecure deserialization, CVSS 10.0 — umożliwia zdalne wykonanie kodu bez uwierzytelnienia. Wymaga natychmiastowej aktualizacji.
• SAP Print Service / SAPSprint: directory traversal (CVSS 9.8) — atakujący bez uwierzytelnienia może nadpisywać pliki systemowe na serwerze wydruku; SAP Note 3630595. W niektórych źródłach powiązana z CVE-2025-42937.
• SAP SRM: podatność arbitrary file upload; brak obejścia — konieczna instalacja poprawki (np. SAP Note 3647332).

Kontekst / historia / powiązania

W ostatnich miesiącach ekosystem SAP obserwował falę krytycznych poprawek (m.in. we wrześniu) oraz realne kampanie wykorzystujące luki w NetWeaver (np. CVE-2025-31324 wykorzystywane w atakach do instalacji backdoorów). Dzisiejszy Patch Day wpisuje się w trend priorytetowego łatania komponentów dostępnych z sieci i mechanizmów uploadu/serializacji.

Analiza techniczna / szczegóły luki

1) NetWeaver AS Java — RMI/P4 insecure deserialization (CVSS 10.0)

• Wektor: sieciowy, brak uwierzytelnienia; podatny kanał RMI/P4 (AS Java).
• Skutek: zdalne wykonanie poleceń na systemie operacyjnym (RCE).
• Ryzyko: natychmiastowa eskalacja do pełnego przejęcia hosta aplikacyjnego.
• Mitigacje czasowe: ograniczenie / filtrowanie dostępu do RMI/P4 wyłącznie z zaufanych podsieci; segmentacja; WAF/IPS z sygnaturami pod deserialization.
  Fakty i parametry potwierdza bieżące omówienie Patch Day.

2) SAP Print Service / SAPSprint — directory traversal (CVSS 9.8) — SAP Note 3630595

• Komponent: SAP Print Service (SAPSprint) — serwer zdalnego drukowania (często na Windows).
• Wektor: brak uwierzytelnienia; manipulacja ścieżką (path traversal) pozwala na „climbing” katalogów i nadpisanie plików systemowych.
• Skutek: naruszenie C/I/A — od wycieku po trwałe uszkodzenie systemu, możliwość eskalacji i utrwalania dostępu.
• CVE: źródła branżowe mapują tę lukę do CVE-2025-42937 (nomenklatura może się różnić między vendorami).
• FAQ/uwagi: SAP opublikował dodatkowy FAQ Note do tej poprawki.

3) SAP SRM — arbitrary file upload (np. SAP Note 3647332)

• Wektor: przesył plików w wybranych komponentach SRM; brak wystarczających walidacji.
• Skutek: możliwość umieszczenia i wykonania złośliwych artefaktów w kontekście aplikacji, prowadząca do przejęcia systemu lub pivotu.
• Workaround: brak skutecznych obejść — wymagane natychmiastowe wdrożenie noty.

Praktyczne konsekwencje / ryzyko

• RCE i trwałe przejęcie serwerów aplikacyjnych (AS Java) oraz nadpisanie krytycznych plików (SAPSprint) mogą skutkować paraliżem usług biznesowych, utratą danych i szantażem ransomware.
• Łańcuchowanie: upload w SRM ⇒ implant web-shell ⇒ ruch boczny do AS Java ⇒ wykorzystanie RMI/P4 ⇒ dominacja domeny / chmury.
• Ekspozycja z Internetu: serwisy drukowania i RMI/P4 ujawnione do sieci publicznej znacząco zwiększają prawdopodobieństwo skanu i szybkiej eksploatacji po publikacji poprawek.

Rekomendacje operacyjne / co zrobić teraz

1. Priorytetyzuj patching:
   • NetWeaver AS Java (RMI/P4 deserialization — CVSS 10.0) — natychmiast.
   • SAP Print Service / SAPSprint — SAP Note 3630595 — w ciągu 24 godzin.
   • SAP SRM — SAP Note 3647332 — pilnie, brak obejść.
2. Doraźne redukcje ryzyka (gdy patch w toku):
   • Ogranicz dostęp do RMI/P4 i SAPSprint do zaufanych adresów/VPN; zablokuj z Internetu.
   • Włącz reguły IPS/WAF na deserialization, path traversal i file-upload; monitoruj anomalie I/O dysku.
   • Ustaw aplikacyjne allow-listy dla formatów i lokalizacji uploadu (SRM).
3. Detekcja i IR:
   • Przejrzyj logi dla RMI/P4, ścieżek drukowania i katalogów uploadu; szukaj nietypowych ścieżek z sekwencjami traversal (np. niestandardowe .../...//).
   • Wykonaj integrity check krytycznych plików na serwerach wydruku (Windows), porównując z kopią wzorcową.
   • Jeśli ekspozycja była publiczna, załóż naruszenie i wykonaj threat hunting (web-shells, niepodpisane binaria, schedule tasks).
4. Zarządzanie podatnościami:
   • Zweryfikuj wszystkie SAP Security Notes z dzisiejszego Patch Day i plan aktualizacji (produkcyjne / non-prod).
   • Upewnij się, że Support Packages i kernel są zgodne z wymaganiami not.

Różnice / porównania z innymi przypadkami

• RMI/P4 deserialization (AS Java) różni się od niedawnej luki CVE-2025-31324 (Visual Composer uploader) — obie skutkują RCE, ale pierwsza atakuje kanał zdalnego wywołania (serializacja), druga nadużywa mechanizmu uploadu. To inne wektory, mogą jednak być łańcuchowane.
• SAPSprint traversal to atak na komponent drukowania (często Windows) — jego implikacje (nadpisanie plików) są bardziej „systemowe” niż typowe błędy w warstwie SAP ABAP/Java.

Podsumowanie / kluczowe wnioski

• Październikowy Patch Day SAP przynosi krytyczne poprawki, z których NetWeaver AS Java (CVSS 10.0) oraz SAPSprint (CVSS 9.8) wymagają natychmiastowych działań, a SRM nie ma obejść poza instalacją poprawek.
• Organizacje powinny patchować w pierwszej kolejności komponenty sieciowo dostępne, ograniczyć ekspozycję i wdrożyć monitoring anomalii plikowych na serwerach drukowania.

Źródła / bibliografia

• SecurityWeek: „SAP Patches Critical Vulnerabilities in NetWeaver, Print Service, SRM” (14.10.2025). (SecurityWeek)
• SAP Support Portal: „Security Patch Day — October 2025” (14.10.2025). (SAP Support Portal)
• Onapsis Research Labs: „SAP Security Patch Day — October 2025” (analiza, Note 3630595, SAPSprint). (Onapsis)
• SecurityBridge: „SAP Security Patch Day — October 2025” (Note 3630595 i 3647332 — SRM). (SecurityBridge)
• RedRays: „October 2025 — Critical Updates” (CVE-2025-42937 / CVSS 9.8 dla Print Service). (RedRays – Your SAP Security Solution)