Vulnérabilité de sécurité critique dans le traitement RFC de SAP – CVE-2025-42989

Une grave faille de sécurité (désignée **CVE-2025-42989**) a été découverte dans les systèmes SAP concernant le traitement des appels RFC tRFC (RFC transactionnel) et qRFC (RFC en file d’attente). Le problème est lié à l’absence de contrôles d’autorisation appropriés dans certains scénarios, ce qui peut conduire à une escalade des privilèges et compromettre gravement l’intégrité et la disponibilité des applications SAP.

Quel est le problème ?

La vulnérabilité est due au fait que, dans certaines situations, le système n’effectue pas les contrôles d’autorisation requis (objet S_RFC) lors de l’établissement des connexions tRFC et qRFC, même pour les utilisateurs authentifiés. Cette omission pourrait permettre un accès non autorisé aux fonctions ou aux données du système, ouvrant ainsi la voie à des attaques potentielles et à des failles de sécurité.

Détails techniques du problème :

Contrôle d’autorisation S_RFC manquant : Le principal problème est l’absence de contrôle d’autorisation pour les appels tRFC et qRFC.
Impact:La vulnérabilité concerne les mécanismes d’accès, les profils d’autorisation et les droits des utilisateurs dans SAP.
Identifiant : CVE-2025-42989.
Fichiers menacés : La vulnérabilité affecte les composants contenus dans les fichiers `dw.sar`, `SAPEXE.SAR`, `SAPEXEDB.SAR`.

Solution

SAP a publié des correctifs pour combler cette lacune. Il est essentiel que les actions recommandées soient mises en œuvre sans délai :

Mise à jour du noyau : Le correctif approprié du noyau SAP doit être installé. Les correctifs ont été implémentés dans les dernières versions.
Configuration parameter : Set parameter `rfc/authCheckInPlayback = 1`.
Gestion des autorisations : Assurez-vous que tous les utilisateurs disposent des autorisations nécessaires pour l’objet S_RFC.
Note SAP : Lisez la note SAP 3601919, qui contient des informations détaillées sur les mesures d’atténuation et les questions fréquemment posées.

Important : il n’existe pas de solution de contournement pour cette vulnérabilité – une mise à jour est absolument nécessaire. Si vous utilisez une version de noyau qui n’est plus supportée, une mise à jour vers une version compatible (DCK) sera nécessaire.

Résumé : cette vulnérabilité critique rappelle l’importance d’une révision régulière des autorisations et des politiques de mise à jour du noyau SAP. Les autorisations négligées constituent une menace réelle pour la sécurité des systèmes d’entreprise.

Quel est le problème ?

Solution

Przeczytaj również:

SAP Public Cloud – Netflix dans le monde des systèmes ERP ?

Passer de SAP FUE à PUPM – révolution ou évolution ?

SAP LeanIX en action – Architecture informatique globale et transformation numérique

Votre entreprise perd-elle 20 % de son budget informatique ? Le chaos des systèmes coûte plus cher que vous ne le pensez

Des autorisations sans surprise – comment se préparer à la nouvelle version de SAP S/4HANA Public Cloud ?

Comment ne pas exagérer les autorisations ? – La plus petite exigence d’accès dans SAP

EN BREF

Politique de confidentialité

BLOG

SAP Public Cloud – Netflix dans le monde des systèmes ERP ?

Passer de SAP FUE à PUPM – révolution ou évolution ?

SAP LeanIX en action – Architecture informatique globale et transformation numérique

SAP GRC

SAP Security & Authorizations

SAP GRC

Sécurité et autorisations SAP