SAP Güvenlik Açıkları ve Alınan Yeni Önlemler
Son dönemde yazılım güvenliği alanında meydana gelen gelişmeler, işletim sisteminin zafiyetlerini ortaya koyarken, özellikle büyük ölçekli işletmelerin veri güvenliğini tehdit eden ciddi durumlarla karşı karşıya kalması, bu konuyu daha da önemli hale getiriyor. SAP, son günlerde 13 yeni güvenlik sorununa yönelik çözüm geliştirdiğini açıkladı. Bunlar arasında en fazla dikkat çeken zafiyet, SAP NetWeaver AS Java’daki menşei belirsiz veri deserializasyonu ile ilgili olan ve anlamsız komut yürütülmesine yol açabilen güvenlik açığıdır. CVE-2025-42944 olarak etiketlenen bu zafiyet, 10.0’lık bir CVSS puanına sahiptir ve bu durum, zafiyetin ciddiyetini gözler önüne sermektedir.
Deserialization Zafiyeti ve Etkileri
CVE-2025-42944 zafiyetinin detaylarına bakıldığında, SAP NetWeaver üzerindeki bir RMI-P4 modülü aracılığıyla, yetkisiz bir saldırganın açık bir porta zararlı bir yük göndererek sisteme sızabileceği görülmektedir. Bu tür bir deserialization zafiyeti, işletim uygulamasının gizlilik, bütünlük ve erişilebilirlik özelliklerini tehdit eden ciddi sonuçlara yol açabilmektedir. SAP, bu sorunu geçtiğimiz ay ele almış olsa da, güvenlik firması Onapsis, son güncellemelerin, deserialization risklerine karşı ek önlemler sağladığını ifade etmektedir.
SAP’nin uyguladığı ek koruma katmanı, JVM genelinde bir filtre uygulayarak belirli sınıfların deserialization işlemlerini engellemektedir. Bu filtreleme mekanizması, ORL işbirliğiyle belirlenen ve zorunlu ile isteğe bağlı bölümlere ayrılmış sınıf ve paket listesini içermektedir.
Dikkat Çeken Diğer Kritik Açıklar
SAP tarafından kapatılan diğer önemli güvenlik zafiyetleri arasında CVE-2025-42937 ve CVE-2025-42910 bulunmaktadır. CVE-2025-42937, SAP Print Service’deki bir dizin traversi zafiyeti olarak tanımlanmakta ve yetersiz yol doğrulaması nedeniyle yetkisiz bir saldırganın ana dizine ulaşmasına ve sistem dosyalarını yazmasına olanak tanımaktadır. Bu zafiyet 9.8’lik bir CVSS puanına sahiptir.
Bir diğer dikkat çekici zafiyet ise, SAP Tedarikçi İlişki Yönetimi (SRM) sistemindeki dosya yükleme sorunudur (CVE-2025-42910). Bu zafiyet, saldırgana keyfi dosyalar yükleme imkanı sunarak, kötü amaçlı yürütülebilir dosyaların uygulanabilir hale gelmesine ve uygulamanın gizliliğini, bütünlüğünü ve erişilebilirliğini tehdit etmesine neden olmaktadır. Bu zafiyet de 9.0’lık CVSS puanıyla kritik bir seviyede yer almakta.
Önlemler ve Güncellemeler
SAP, bu tür zafiyetlerin gerçek dünya ortamında istismar edildiğine dair henüz bir kanıt olmadığını belirtse de, kullanıcıların en son yamanın ve azaltma önlemlerinin uygulanmasını derhal gerçekleştirmeleri gerektiğini vurguluyor. Özellikle deserialization zafiyeti, yüksek risk taşıyan bir durum olarak öne çıkmakta ve Pathlock’ın uzmanı Jonathan Stross’un belirttiği üzere, P4/RMI zinciri, AS Java içindeki kritik açılara neden olmayı sürdürmektedir. SAP, doğrudan bir düzeltme ve daha sağlam bir JVM yapılandırması sağlayarak bu tür zafiyetlerle başa çıkmayı amaçlamaktadır.
Sonuç ve Öneriler
Tüm bu gelişmeler, büyük ölçekli işletmelerin bilişim altyapılarını korumak için proaktif bir yaklaşımla çalışması gerektiğini gösteriyor. Yazılımların sürekli olarak güncellenmesi, ortaya çıkan zafiyetlere karşı hızlı tepkiler verilmesi, işletmelerin sahip olduğu verilerin korunmasında hayati bir rol oynamaktadır. SAP gibi büyük yazılım sağlayıcılarının düzenli olarak güvenlik yamaları sunması, kullanıcıların ve şirketlerin karşılaşabileceği tehditleri büyük ölçüde azaltıyor. Ancak, bu yamaların etkili bir şekilde uygulanması, her zaman kritik öneme sahip olacaktır. Düşük seviyedeki güncellemeler ve yamaların atlanması, potansiyel güvenlik açıklarının artmasına yol açabilir. Bu nedenle, işletmelerin güvenlik politikalarını sıkı tutmaları ve her yeni güncellemeyi hızla uygulamaları önem arz etmektedir.
