Bugün SAP, aylık güvenlik yaması güncellemesinde, CVE-2025-0070 ve CVE-2025-0066 gibi kritik güvenlik açıklarını duyurdu. Bu açıklar, SAP’nin temel altyapısı olan SAP NetWeaver AS for ABAP ve ABAP Platform üzerinde ciddi tehditler yaratıyor. Bu yazıda, her iki güvenlik açığının teknik detaylarına, nasıl sömürüldüklerine ve etkilenen sistemlere dair bilmeniz gereken tüm ayrıntıları bulacaksınız.
CVE-2025-0070: Yanlış Kimlik Doğrulama (CVSS 9.9)
Zaafiyet Detayı ve Sömürülme Yöntemi
CVE-2025-0070, kimlik doğrulama hataları nedeniyle saldırganların sisteme yetkisiz erişim sağlamasına olanak tanır. SAP NetWeaver AS for ABAP ve ABAP Platform’daki yanlış kimlik doğrulama kontrolleri, saldırganların sisteme geçerli kimlik bilgileri olmadan erişmesine olanak verir. Bu da privilege escalation (yetki yükseltme) saldırılarının gerçekleştirilmesine zemin hazırlar.
Saldırganlar, sistemdeki düşük seviyedeki kimlik doğrulama hatalarını kullanarak, yüksek erişim haklarına sahip hesapları ele geçirebilirler. Bu tür bir açık, özellikle sistem yöneticileri için kritik bir tehdit oluşturur çünkü saldırgan, yöneticinin tüm yetkilerini kullanarak kötü niyetli işlem yapabilir.
Sömürü Kodları ve Adımlar
Saldırganlar bu açığı şu adımlarla sömürebilir:
- Kimlik Doğrulama Aracını Atlamak: Kimlik doğrulama işlemi sırasında, kullanılan input parametreleri üzerinde değişiklik yaparak doğrulama sürecini geçersiz kılarlar. Örneğin, ABAP uygulama kodu üzerinden yapılan API çağrılarıyla kimlik doğrulama bypass edilebilir.
SELECT * FROM USERS WHERE USER = 'admin' AND PASSWORD = 'null';Bu tür hatalı sorgular, saldırganın admin seviyesinde işlem yapmasına olanak verir. - Yetki Yükseltme: Giriş yapıldıktan sonra, yetkili kullanıcı hakları ile sisteme giren saldırgan,
role assignment(rol atamaları) gibi işlemleri değiştirerek daha yüksek erişim hakları kazanır.
Etkilenen Sürümler ve Kontrol
Etkilenen sürümler arasında SAP NetWeaver 7.0.14 ile 7.0.16 yer alır. Bu sürümleri kullanan SAP sistemlerinde, özellikle ABAP tabanlı sistemlerdeki tüm kullanıcıların şifre ve rol atamaları gözden geçirilmelidir.
Kontrol Yöntemi:
- Sistem loglarında, şüpheli giriş denemeleri ve yetkisiz kullanıcı aktiviteleri izlenmelidir.
- SAP’nin
SU53komutunu kullanarak son oturum loglarına bakılabilir. - Sistemdeki kimlik doğrulama logları ve yetki değişiklikleri dikkatle incelenmelidir.
CVE-2025-0066: Zayıf Erişim Kontrolleri (CVSS 9.9)
Zaafiyet Detayı ve Sömürülme Yöntemi
CVE-2025-0066, zayıf erişim kontrolleri nedeniyle, SAP NetWeaver AS for ABAP ve ABAP Platform‘daki sınırlı verilere yetkisiz erişim sağlamaya imkan verir. Bu açık, özellikle veri gizliliği ve bütünlüğünü tehlikeye atar. Zayıf erişim kontrolleri, bir saldırganın, doğru yetkilendirme olmadan kısıtlı bilgilere erişmesini sağlar.
Saldırganlar, Internet Communication Framework (ICF) üzerinde bulunan zayıf erişim yapılandırmalarını kullanarak, belirli API’lere ve veritabanı sorgularına erişebilirler.
Sömürü Kodları ve Adımlar
Saldırganlar, zayıf erişim kontrolünü sömürebilmek için aşağıdaki adımları izler:
- Erişim Kontrolü Atlatma: API’ler üzerinde zayıf güvenlik önlemleri kullanarak veritabanına erişim sağlanabilir. Örnek:
curl -X GET http://<SAPServer>/sap/bc/webdynpro/sap/z_userdata?username=admin&password=secret - Veri Sızdırma: Zayıf erişim kontrolüne sahip olan veri noktalarından hassas bilgiler (şifreler, kullanıcı verileri) çekilebilir.
Etkilenen Sürümler ve Kontrol
Etkilenen sürümler SAP NetWeaver 7.0.14 ile 7.0.16 arasında yer almaktadır. SAP sistemlerindeki ICF servislerinin doğru yapılandırılıp yapılandırılmadığı kontrol edilmelidir.
Kontrol Yöntemi:
- Erişim kontrol listeleri (ACL) dikkatle gözden geçirilmelidir.
- SAP ICF servislerinin yapılandırması gözden geçirilmeli, yalnızca yetkili kullanıcıların erişimi sağlanmalıdır.
- Sistem, API erişimi için HTTPS kullanılarak güvenli hale getirilmelidir.
SAP Sistemlerinde Etkilenip Etkilenmediğinizi Nasıl Kontrol Edersiniz?
SAP sisteminizin etkilenip etkilenmediğini kontrol etmek için aşağıdaki adımları izleyebilirsiniz:
- Sürüm Kontrolü: Sistemdeki SAP NetWeaver sürümünü kontrol edin ve CVE-2025-0070 ve CVE-2025-0066 açıklıklarıyla uyumlu olup olmadığını doğrulayın.
- SAP GUI üzerinden
SPAMveyaSAINTkomutları ile yama seviyenizi kontrol edin.
- SAP GUI üzerinden
- Güvenlik Yaması Uygulama: SAP tarafından yayımlanan güvenlik yamalarını derhal uygulayın. Bu yamalar, açıkların kapatılmasını sağlayacaktır.
- Güncel Logları İnceleyin: Sistemdeki log dosyalarını inceleyerek şüpheli giriş veya değişiklikleri tespit edin.
SM21komutuyla sistem günlüklerini kontrol edebilirsiniz.
- Erişim Loglarını İzleyin: SAP’nin
ST03veST01komutlarını kullanarak, sistemdeki yetkisiz giriş denemelerini takip edin.
Sonuç ve Öneriler
SAP sistemlerinde tespit edilen CVE-2025-0070 ve CVE-2025-0066 güvenlik açıkları, ciddi tehditler oluşturuyor. Bu tür güvenlik açıklarının istismar edilmesi, hem veri güvenliği hem de sistem güvenliği için büyük riskler taşıyor. SAP kullanıcılarının bu açıkları derhal yamalaması, erişim kontrollerini gözden geçirmesi ve sistem loglarını sık sık denetlemesi gerekmektedir.
Ayrıca, SAP güvenliği konusunda sürekli izleme ve proaktif güvenlik önlemleri almak, organizasyonların bu tür saldırılara karşı daha dayanıklı hale gelmesini sağlar. Güvenlik açıkları sürekli geliştiğinden, sistemlerinizi düzenli olarak güncel tutmak ve SAP tarafından yayımlanan güvenlik güncellemelerini takip etmek kritik öneme sahiptir.
#CyberSecurity #SAP #NetworkSecurity #CVE2025 #SAPNetWeaver #SecurityPatch #PrivilegeEscalation #AccessControl #DataProtection
About the Author
