SAP Kritik Güvenlik Açığını Yamaladı: CVSS 9.9 NetWeaver ABAP Hatası Veri Sızıntısına Yol Açabilir Yazılım

SAP Kritik Güvenlik Açığını Yamaladı: CVSS 9.9 NetWeaver ABAP Hatası Veri Sızıntısına Yol Açabilir

SAP, Temmuz 2026 güncellemeleriyle birlikte CVSS 9.9 puanlı NetWeaver ABAP bellek bozulması ve AppRouter HTTP kaçakçılığı açıklarını yamaladı. Hemen g

SAP, Temmuz 2026 güvenlik güncellemeleri kapsamında bir dizi kritik güvenlik açığını yamaladı. Bunlar arasında en dikkat çekeni, SAP NetWeaver Application Server ABAP ürününde bulunan ve CVSS 9.9 puanına sahip CVE-2026-44747 numaralı bellek bozulması açığı oldu. Bu açık, kimliği doğrulanmış bir saldırganın bellek yönetimindeki mantıksal hataları kullanarak bellek bozulmasına yol açmasına ve böylece yetkisiz veri erişimi, veri değişikliği veya sistem kullanılamazlığına neden olmasına izin veriyor. SAP, geçici bir önlem olarak SICF işlemindeki belirli ICF düğümlerinin devre dışı bırakılmasını önerse de, bu geçici çözüm SAP GUI for HTML üzerinden işlem açmayı engellediği için tüm müşteriler için uygun değil. Bu nedenle, ABAP Kernel sürümünün güncellenmesi şiddetle tavsiye ediliyor.

SAP tarafından yamalanan diğer iki kritik güvenlik açığından ilki, CVE-2026-27690 (CVSS 9.1) olarak kaydedilen ve SAP Approuter dağıtımlarını etkileyen HTTP istek/yanıt kaçakçılığı açığı. Bu açık, kimliği doğrulanmamış bir saldırganın özel hazırlanmış bir HTTP isteği göndererek istek-yanıt senkronizasyonunu bozmasına ve kullanıcı yanıtlarının açığa çıkmasına ve hizmet reddi (DoS) saldırılarına yol açmasına olanak tanıyor. İkinci kritik açık ise CVE-2026-44761 (CVSS 9.1) olarak kaydedilen ve SAP Commerce Cloud ürününde varsayılan kimlik bilgilerinin kullanılmasıyla ilgili bir güvenlik açığı. Bu açık, SAP Help Portal belgelerinde sağlanan örnek bir yapılandırmadan kaynaklanan, herkesçe bilinen örnek kimlik bilgilerine sahip bir OAuth 2.0 istemcisini muhafaza ediyor.

CVE-2026-44761 açığıyla ilgili olarak NIST Ulusal Güvenlik Açığı Veritabanı'nda (NVD) yer alan açıklamaya göre, kimliği doğrulanmamış bir saldırgan bu iyi bilinen kimlik bilgilerini kullanarak geçerli bir erişim jetonu elde edebilir ve belirli API'leri çağırarak verileri okuyabilir veya değiştirebilir. Başarılı bir istismar, gizlilik ve bütünlük üzerinde yüksek etkiye sahipken, kullanılabilirlik üzerinde etkisi yoktur. Onapsis güvenlik firması, bu açığın daha önce SAP Help Portal'da sağlanan örnek yapılandırma betiklerinden kaynaklandığını belirtti. Bu betikler aslen geliştirme ve test amaçlı olup, OAuth 2.0 istemcilerini sabit kodlanmış, iyi bilinen kimlik bilgileriyle yapılandırıyor.

Onapsis, belgelerin eski sürümlerinin müşterileri bu varsayılan ayarları üretim ortamına aktarma konusunda açıkça uyarmadığını vurguladı. Kimliği doğrulanmamış bir saldırgan, herkese açık bu varsayılan kimlik bilgilerini kullanarak geçerli bir erişim jetonu elde edebilir. Bu jetonla belirli API'leri çağırarak sistem verilerini okuyabilir ve değiştirebilir. İstismar için müşterinin örnek betiği çalıştırmış ve ortaya çıkan OAuth 2.0 istemcisini sabit kodlanmış sırrı değiştirmeden üretimde tutmuş olması gerekiyor. Örnek istemciyi kaldıran veya sırrı güçlü, benzersiz bir değerle değiştiren müşteriler bu açıktan etkilenmiyor. Müşterilere, üretim ortamlarında etkilenen örnek OAuth 2.0 istemcisinin varlığını denetlemeleri ve varsa kaldırmaları öneriliyor.

Bu güvenlik açıklarının şu ana kadar vahşi ortamda istismar edildiğine dair bir kanıt bulunmamakla birlikte, optimum koruma için gerekli güncellemelerin bir an önce uygulanması tavsiye ediliyor. SAP müşterileri, Temmuz 2026 güvenlik notlarını inceleyerek sistemlerini güncellemeli ve özellikle NetWeaver ABAP, Approuter ve Commerce Cloud bileşenlerinde düzeltmeleri uygulamalıdır. Ayrıca, üretim ortamlarında varsayılan veya örnek yapılandırmaların bulunmadığından emin olmak için düzenli güvenlik denetimleri yapılması önemle önerilir.

Teknik Analiz

SAP'nin bu kritik güvenlik açıklarını yamalaması, kurumsal yazılımlarda güvenlik güncellemelerinin zamanında uygulanmasının ne kadar hayati olduğunu bir kez daha gösteriyor. Özellikle CVSS puanı 9.9 olan NetWeaver ABAP açığı, yüksek etki potansiyeli nedeniyle öncelikli olarak ele alınmalıdır. SAP kullanıcıları, güvenlik bültenlerini takip ederek ve gerekli yamaları uygulayarak sistemlerini olası siber saldırılara karşı koruyabilir. Unutulmamalıdır ki, bu açıkların istismarı veri sızıntısı, veri bütünlüğünün bozulması ve hizmet kesintileri gibi ciddi sonuçlara yol açabilir.

Kaynak: thehackernews.com

Paylaş: