SAP S/4HANA’daki Kritik Güvenlik Açığı
SAP S/4HANA, Kurumsal Kaynak Planlama (ERP) yazılımları arasında önemli bir yere sahiptir. Ancak, son dönemde keşfedilen bir güvenlik açığı, bu yazılımın güvenliğini tehdit etmektedir. CVE-2025-42957 olarak adlandırılan bu açık, komut enjeksiyonu (command injection) türünde bir zafiyettir ve CVSS puanı 9.9 olarak değerlendirilmiştir, bu da onun kritik bir tehdit olduğunu göstermektedir.
Açığın Detayları
Bu güvenlik açığı, SAP S/4HANA kullanıcılarının kötü niyetli kişiler tarafından istismar edilmesine olanak tanımaktadır. NIST Ulusal Güvenlik Açığı Veritabanı’na (NVD) göre, bu açıklık, RFC (Uzaktan Fonksiyon Çağrısı) yoluyla erişilen fonksiyon modülünde bulunmaktadır. Bu zafiyet sayesinde, yetkili bir kullanıcının sistemde herhangi bir ABAP kodu enjekte etmesi mümkün hale gelmektedir. Bu durum, gerekli yetkilendirme kontrollerinin atlanmasına sebep olmaktadır.
Eğer bu zafiyet başarıyla istismar edilirse, SAP ortamının tamamen ele geçirilmesi muhtemeldir. Bu da sistemin gizlilik, bütünlük ve erişilebilirliğini tehdit altına sokmaktadır. Kötü niyetli kişiler, SAP veritabanını değiştirebilir, superuser hesapları oluşturabilir ve iş süreçlerini manipüle edebilir.
Aktif İstismar ve Tehditler
SecurityBridge Tehdit Araştırma Laboratuvarları, 4 Eylül 2025 tarihinde yayına sunduğu bir raporda, bu açığın aktif olarak istismar edildiği bilgisini verdi. Hem yerel hem de Özel Bulut sürümlerini etkileyen bu güvenlik açığı, düşük yetkiye sahip kullanıcıların bile sistemin tam olarak ele geçirilmesine olanak tanımaktadır. Yani, açık, kötü niyetli kişilerin minimum çaba ile SAP sistemini ele geçirmelerine olanak tanımaktadır.
Bu tür bir istismar sonucunda, verilerin çalınması, dolandırıcılık, casusluk gerçekleştirilmesi veya fidye yazılımlarının kurulması gibi sonuçlar ortaya çıkabilir. Henüz yaygın bir istismar durumu tespit edilmemiş olsa da, tehdit aktörlerinin bu zafiyeti kullanma bilgisine sahip olduğu belirtilmektedir. Ayrıca, yamanın tersine mühendislik yoluyla bir istismar oluşturulması oldukça kolaydır.
Öneriler ve Önlemler
Kuruluşların bu güvenlik açığını göz ardı etmemesi gerekmektedir. SAP, zafiyetin giderildiğine dair bir düzeltme yayımlamıştır ve kuruluşların bu yamaları en kısa sürede uygulamaları önem arz etmektedir. Ayrıca, logların izlenmesi, şüpheli RFC çağrıları veya yeni yönetici kullanıcılarının kontrol edilmesi önerilmektedir.
Ayrıca, SAP UCON (Uzaktan Fonksiyon Kontrolü) uygulamasının devreye alınması, RFC kullanımının kısıtlanmasına yardımcı olabilir. Yetkilendirme nesnelerine, özellikle S_DMIS aktivitesine erişimin gözden geçirilmesi ve kısıtlanması gerekmektedir.
Güvenlik Açıklarının Önemi
Bu tür güvenlik açıkları, sadece teknik değil, aynı zamanda finansal ve itibar kaybı gibi ciddi sonuçlar doğurabilir. Şirketler, böyle bir durumdan etkilenmemek için güvenlik ölçümlerini sıkı tutmalıdır. Kurumların veri güvenliği politikalarını gözden geçirmeleri, sistemlerine sürekli güncellemeler yapmaları ve çalışanlarının güvenlik bilincini artırmaları son derece önemlidir.
Sonuç
Sonuç olarak, SAP S/4HANA’daki bu kritik güvenlik açığı, birçok kuruluşu tehdit eden bir durum oluşturuyor. Alınacak önlemler ve geçilecek olan yamalar, kurumların güvenliğini artırmada önemli bir rol oynayacaktır. Her kuruluş, güvenlik açığına karşı proaktif bir yaklaşım sergileyerek, potansiyel tehditleri minimize etmelidir.
