SAP, Temmuz 2026 güvenlik güncellemeleri kapsamında çok sayıda açığı giderdi. Bunların arasında en dikkat çekeni, SAP NetWeaver Application Server ABAP bileşeninde bulunan kritik bir güvenlik açığıydı. CVE-2026-44747 olarak izlenen bu zafiyet, CVSS puanı 9.9 ile 'kritik' seviyesinde değerlendiriliyor. Bir bellek yönetimi hatasından kaynaklanan out-of-bounds write (sınır dışı yazma) türündeki bu açık, kimliği doğrulanmış bir saldırganın mantıksal hataları kullanarak belleği bozmasına olanak tanıyor. Başarılı bir istismar, yetkisiz veri erişimi, veri değişikliği veya sistem kullanılamazlığına yol açabiliyor.
SAP güvenlik firması Onapsis, bu açık için geçici bir çözüm önerisi sundu: SICF işlemindeki belirli bir özelliğe sahip tüm ICF düğümlerini devre dışı bırakmak. Ancak bu geçici çözüm, SAP GUI for HTML'de işlemlerin açılmasını engellediği için tüm müşteriler için uygun değil. Onapsis, ABAP Kernel sürümünün yamalanmasını şiddetle tavsiye ediyor. Bu yöntem, güvenliği sağlamanın en etkili yolu olarak öne çıkıyor.
SAP ayrıca iki kritik düzeyde açığı daha giderdi. Bunlardan ilki CVE-2026-27690 (CVSS 9.1), SAP Approuter dağıtımlarında Cloud Foundry dışı ortamlarda HTTP istek/yanıt kaçakçılığı zafiyeti. Kimliği doğrulanmamış bir saldırgan, özel hazırlanmış bir HTTP isteği göndererek istek-yanıt eşzamanlamasını bozabilir, kullanıcı yanıtlarının ifşa olmasına ve hizmet reddi (DoS) saldırılarına neden olabilir. İkinci açık ise CVE-2026-44761 (CVSS 9.1), SAP Commerce Cloud'da varsayılan kimlik bilgilerinin kullanılması sorunu. Bu açık, SAP Help Portal belgelerinde yer alan örnek bir yapılandırmadan kaynaklanan, herkese açık örnek OAuth 2.0 istemcisinin üretim ortamında tutulması durumunda ortaya çıkıyor.
NIST Ulusal Güvenlik Açığı Veritabanı (NVD), CVE-2026-44761 ile ilgili olarak şu açıklamayı yaptı: 'Değiştirilmezse, kimliği doğrulanmamış bir saldırgan bu iyi bilinen kimlik bilgilerini kullanarak geçerli bir erişim jetonu elde edebilir ve belirli API'leri çağırarak verileri okuyup değiştirebilir. Başarılı istismar, gizlilik ve bütünlük üzerinde yüksek etki yaratır, ancak kullanılabilirliği etkilemez.' Onapsis, bu açığın temelinde SAP Help Portal'da daha önce sağlanan örnek yapılandırma betiklerinin olduğunu belirtti. Bu betikler aslında geliştirme ve test amaçlıydı, ancak OAuth 2.0 istemcilerini sabit kodlanmış, iyi bilinen kimlik bilgileriyle yapılandırıyordu.
Nasıl Önlem Alınmalı?
Onapsis, 'Belgelerin eski sürümleri, müşterileri bu varsayılan ayarları üretim ortamına aktarmamaları konusunda açıkça uyarmıyordu. Kimliği doğrulanmamış bir saldırgan, herkese açık bu varsayılan kimlik bilgilerini kullanarak geçerli bir erişim jetonu elde edebilir. Bu jetonla belirli API'leri çağırarak sistem verilerini okuyup değiştirebilir. İstismar için müşterinin örnek betiği çalıştırmış ve ortaya çıkan OAuth 2.0 istemcisini üretimde sabit kodlanmış sırrı değiştirmeden tutmuş olması gerekiyor.' Bu açıktan etkilenmemek için örnek istemcinin kaldırılması veya sırrın güçlü, benzersiz bir değerle değiştirilmesi yeterli.
Müşterilere, üretim ortamlarında etkilenen örnek OAuth 2.0 istemcisinin varlığını denetlemeleri ve varsa kaldırmaları öneriliyor. Şu anda bu açıkların vahşi ortamda istismar edildiğine dair bir kanıt bulunmamakla birlikte, en iyi koruma için gerekli güncellemelerin uygulanması şiddetle tavsiye ediliyor. SAP kullanıcıları, bu kritik güvenlik yamalarını mümkün olan en kısa sürede devreye almalı ve sistemlerini olası saldırılara karşı güvence altına almalıdır.
Kaynak: thehackernews.com