Krytyczna Luka Bezpieczeństwa w Obsłudze RFC w SAP – CVE-2025-42989

W systemach SAP odkryto poważną lukę bezpieczeństwa (oznaczoną jako **CVE-2025-42989**) związaną z przetwarzaniem połączeń RFC typu tRFC (transactional RFC) i qRFC (queued RFC). Problem ten dotyczy braku odpowiednich sprawdzeń autoryzacji w niektórych scenariuszach, co może prowadzić do eskalacji uprawnień i poważnie zagrozić integralności oraz dostępności aplikacji SAP.

Na czym polega problem?

Luka wynika z tego, że w pewnych sytuacjach system nie wykonuje wymaganych sprawdzeń autoryzacji (obiekt S_RFC) podczas inicjowania połączeń tRFC i qRFC, nawet dla uwierzytelnionych użytkowników. To niedopatrzenie może umożliwić nieautoryzowany dostęp do funkcji systemowych lub danych, otwierając drogę do potencjalnych ataków i naruszeń bezpieczeństwa.

Techniczne szczegóły problemu:

•  Brak sprawdzenia autoryzacji S_RFC: Głównym problemem jest pominięcie sprawdzeń autoryzacji dla połączeń typu tRFC i qRFC.
• Wpływ:Luka dotyczy mechanizmów dostępu, profili autoryzacyjnych i uprawnień użytkowników w systemie SAP.
• Identyfikator: CVE-2025-42989.
• Zagrożone pliki: Luka dotyczy komponentów zawartych w plikach `dw.sar`, `SAPEXE.SAR`, `SAPEXEDB.SAR`.

Rozwiązanie

SAP udostępnił poprawki eliminujące tę lukę. Kluczowe jest niezwłoczne wdrożenie rekomendowanych działań:

• Aktualizacja kernela: Należy zainstalować odpowiedni patch kernela SAP. Poprawki zostały wprowadzone w najnowszych wersjach.
• Parametr konfiguracyjny: Ustaw parametr `rfc/authCheckInPlayback = 1`.
• Zarządzanie uprawnieniami: Upewnij się, że wszyscy użytkownicy posiadają odpowiednie uprawnienia do obiektu S_RFC.
• Nota SAP: Zapoznaj się z notą SAP Note 3601919, która zawiera szczegółowe informacje na temat mitygacji i często zadawane pytania.

Ważne: Nie ma dostępnego obejścia dla tej luki – aktualizacja jest absolutnie konieczna. Jeśli korzystasz z wersji kernela, która nie jest już objęta wsparciem, niezbędny będzie upgrade do kompatybilnej wersji (DCK).

Podsumowanie: Ta krytyczna luka ponownie podkreśla znaczenie regularnych przeglądów uprawnień oraz polityki aktualizacji kernela SAP. Zaniedbane autoryzacje stanowią realne zagrożenie dla bezpieczeństwa systemów biznesowych.