SAP, Temmuz 2026 güvenlik güncellemeleri kapsamında bir dizi kritik güvenlik açığını yamaladı. Bunlar arasında en dikkat çekeni, SAP NetWeaver Application Server ABAP'ta bulunan ve CVSS puanı 9.9 olan CVE-2026-44747 numaralı bellek hatası. Bu açık, yetkili bir saldırganın bellek yönetimindeki mantıksal hataları kullanarak bellek bozulmasına yol açmasına ve sonuçta yetkisiz veri erişimi, veri değişikliği veya sistem kullanılamazlığına neden olmasına izin veriyor. SAP güvenlik firması Onapsis, geçici bir çözüm olarak SICF işleminde belirli bir özelliğe sahip tüm ICF düğümlerinin devre dışı bırakılmasını öneriyor. Ancak bu geçici çözüm, SAP GUI for HTML'de işlem açmayı engelleyeceği için tüm müşteriler için uygun değil; bu nedenle ABAP Kernel sürümünün yamalanması şiddetle tavsiye ediliyor.
SAP tarafından giderilen diğer iki kritik açıktan ilki, CVE-2026-27690 (CVSS 9.1) olarak kaydedilen ve SAP Approuter dağıtımlarında Cloud Foundry dışı ortamlarda ortaya çıkan bir HTTP istek/yanıt kaçakçılığı (HTTP request/response smuggling) zafiyeti. Bu açık, kimliği doğrulanmamış bir saldırganın özel hazırlanmış bir HTTP isteği göndererek istek-yanıt desenkronizasyonuna yol açmasına, kullanıcı yanıtlarının ifşa olmasına ve hizmet reddi (DoS) saldırılarına neden olmasına izin veriyor.
İkinci kritik açık ise CVE-2026-44761 (CVSS 9.1) olarak tanımlanan ve SAP Commerce Cloud'da varsayılan kimlik bilgilerinin kullanılmasından kaynaklanan bir zafiyet. SAP Help Portal dokümantasyonunda sağlanan örnek bir yapılandırma nedeniyle, sistemde kamuya açık örnek kimlik bilgilerine sahip bir OAuth 2.0 istemcisi kalabiliyor. NIST Ulusal Güvenlik Açığı Veritabanı'na (NVD) göre, bu bilinen kimlik bilgileri değiştirilmezse, kimliği doğrulanmamış bir saldırgan bu bilgileri kullanarak geçerli bir erişim jetonu elde edebilir ve belirli API'leri çağırarak verileri okuyup değiştirebilir. Başarılı bir istismar, gizlilik ve bütünlük üzerinde yüksek etkiye sahipken, kullanılabilirlik üzerinde etkisi yok.
Onapsis, CVE-2026-44761'in önceden SAP Help Portal'da sağlanan örnek yapılandırma betiklerinden kaynaklandığını belirtiyor. Bu betikler başlangıçta geliştirme ve test amaçlıydı ve OAuth 2.0 istemcilerini sabit kodlanmış, bilinen kimlik bilgileriyle yapılandırıyordu. Eski dokümantasyon sürümleri, müşterileri bu varsayılan ayarları üretim ortamına aktarmamaları konusunda açıkça uyarmıyordu. Saldırgan, bu herkese açık varsayılan kimlik bilgilerini kullanarak geçerli bir erişim jetonu alabilir ve bu jetonla belirli API'leri çağırarak sistem verilerini okuyup değiştirebilir. Ancak bu açıktan etkilenmek için müşterinin örnek betiği çalıştırmış ve sonuçtaki OAuth 2.0 istemcisini üretim ortamında sabit kodlanmış sırrı değiştirmeden bırakmış olması gerekiyor. Örnek istemciyi kaldıran veya sırrı güçlü, benzersiz bir değerle değiştiren müşteriler bu açıktan etkilenmiyor.
Gelecekte Ne Bekleniyor?
SAP müşterilerine, üretim ortamlarını etkilenen örnek OAuth 2.0 istemcisinin varlığına karşı denetlemeleri ve böyle bir istemci varsa kaldırmaları öneriliyor. Bu açıkların şu ana kadar vahşi ortamda istismar edildiğine dair bir kanıt bulunmamakla birlikte, optimum koruma için gerekli güncellemelerin uygulanması tavsiye ediliyor. Özellikle CVE-2026-44747 için geçici çözümün sınırlı olduğu ve yamalamanın en güvenli seçenek olduğu vurgulanıyor.
Uzmanların Görüşleri
SAP'nin bu kritik açıkları gidermesi, kurumsal yazılım güvenliğinde sürekli güncellemelerin önemini bir kez daha hatırlatıyor. NetWeaver ABAP gibi yaygın kullanılan platformlardaki yüksek CVSS puanlı zafiyetler, siber saldırganlar için cazip hedefler oluşturuyor. Bu nedenle SAP kullanıcılarının, özellikle bellek yönetimi ve varsayılan yapılandırmalardan kaynaklanan risklere karşı dikkatli olmaları, güvenlik bültenlerini takip etmeleri ve yamaları zamanında uygulamaları kritik önem taşıyor. Ayrıca, örnek yapılandırmaların üretim ortamlarına taşınmaması ve varsayılan kimlik bilgilerinin mutlaka değiştirilmesi gerektiği unutulmamalıdır.
Kaynak: thehackernews.com