Тимур Цыбденов, ведущий инженер SafeERP компании «Газинформсервис», предупредил, что уязвимость представляет собой не просто баг, а системный провал в архитектуре контроля доступа SAP, позволяющий злоумышленникам получить полный административный контроль над критически важными корпоративными системами. Киберэксперт рассказал о механике проблемы и путях решения.
«Обработка входящих RFC (Remote Function Call) не выполняет необходимые проверки авторизации для аутентифицированного пользователя, что приводит к эскалации привилегий. При успешной эксплуатации злоумышленник может критически повлиять как на целостность, так и на доступность приложения. Уязвимость представляет собой системную угрозу высочайшего уровня в инфраструктуре SAP. Недостаточная проверка авторизации при обработке входящих RFC для аутентифицированных пользователей — это не просто баг, это провал в модели контроля доступа, позволяющий злоумышленнику превратить ограниченные права в полный контроль над системой», — объяснил киберэксперт.
Этот «чёрный ход» работает крайне просто, объяснил Цыбденов. Злоумышленник с базовым доступом — будь то через SAP GUI или внешнюю систему — может создать RFC-подключение к целевой системе. Игнорируя истинные полномочия, система выполнит вызов привилегированных RFC-функций, которые должны требовать административных прав, тем самым эскалируя привилегии пользователя без реального их наличия в его профиле. Атакующий вызывает привилегированные RFC-функции, которые должны требовать административных или специальных прав (S_RFC_ADM, S_RFC с конкретными значениями). Система выполняет вызов, эскалируя привилегии пользователя до уровня, необходимого для функции, без реального наличия у него этих прав в профиле.
Киберэксперт предупреждает, что последствия успешной эксплуатации CVE-2025-42989 могут быть катастрофическими для бизнеса. Мошенники могут полностью захватить контроль, удалять данные, изменять банковские реквизиты, и компрометировать весь ландшафт через распространение атаки на связанные системы.
В свете серьёзной угрозы эксперт SafeERP Тимур Цыбденов настоятельно рекомендует организациям немедленно предпринять ряд защитных мер. В первую очередь, это касается оперативного патчинга: «Найдите и установите патч SAP, закрывающий конкретно эту уязвимость. Патч должен принудительно внедрить авторизационные проверки (AUTHORITY-CHECK OBJECT 'S_RFC' ...) в ядро обработки входящих RFC. Проведите срочный ревью всего кастомного кода на наличие пропущенных AUTHORITY-CHECK в вызовах RFC. Используйте статические анализаторы кода. Например, статический анализатор кода SafeERP Security Suite поможет выявить наличие пропущенных AUTHORITY-CHECK во всем ABAP-коде», — подчеркнул специалист.
Кроме того, критически важно соблюдать принцип минимальных привилегий: «В SM59 для каждого RFC-назначения явно ограничьте Authorization Value в поле Authorization (не 'Trusted’ без крайней необходимости!), специфицируйте технического пользователя с минимально необходимыми правами, используйте профили параметра auth/rfc_authority_check для явного запрета вызова критически опасных стандартных RFC-функций для широкого круга пользователей/систем и деактивируйте (SM59 -> Inactive) все ненужные RFC-назначения, — отметил киберэксперт. — Используя SafeERP Security Suite, вы сможете контролировать целостность RFC-соединений, а также контролировать появление новых RFC-соединений в системе. Комплекс отобразит информацию об авторе, дате и времени изменений RFC-соединений».
Эксперт заключил: «Данная уязвимость — не просто дыра в коде, это системная уязвимость в модели безопасности SAP RFC, ставящая под угрозу саму основу управления доступом. Её эксплуатация позволяет злоумышленнику обойти все ролевые ограничения, превратив минимальный доступ в административный контроль над критически важными системами. Риски выходят далеко за рамки единичной системы, угрожая всему интегрированному ландшафту SAP через механизмы Trusted Communication».
