▲
- Uma falha no SAP S/4HANA permite que usuários comuns obtenham controle total do sistema.
- Você precisa se preocupar pois essa falha pode expor dados sensíveis e paralisar operações empresariais.
- Empresas que usam SAP S/4HANA correm risco de ataques que podem roubar informações e afetar toda a cadeia produtiva.
- Aplicar o patch de segurança disponibilizado pela SAP é a única forma eficaz de proteção contra essa ameaça.
Uma falha no SAP S/4HANA, um sistema de gestão empresarial vital, está sendo explorada por criminosos digitais. Essa vulnerabilidade, conhecida como CVE-2025-42957, permite que usuários comuns obtenham controle total do sistema. Isso pode levar à injeção de código malicioso e acesso não autorizado a informações sensíveis.
A gravidade dessa exploração é alta devido à natureza dos dados que o sistema gerencia. O SAP S/4HANA atua como o “cérebro” de diversas empresas, centralizando informações críticas. Ele abrange setores como finanças, estoque, vendas, contratos e logística, sendo essencial para as operações diárias. No Brasil, por exemplo, a Fundação Bradesco utiliza esse sistema para gerenciar seu estoque de alimentos e fazer análises financeiras detalhadas.
Como os Cibercriminosos Exploram a Vulnerabilidade
Os criminosos aproveitam uma falha no sistema RFC, que é um programa que permite a comunicação e execução de funções entre sistemas remotos. Essa parte do sistema não estava verificando corretamente as permissões dos usuários. Assim, invasores conseguem criar contas de administrador, garantindo acesso permanente a dados e informações sigilosas. Eles podem até mesmo instalar backdoors ou ransomware.
Os ataques podem resultar em diversas consequências sérias para as empresas. Entre elas, estão o roubo de dados, manipulação de informações e a injeção de códigos maliciosos. A criação de contas backdoor facilita a escalada de privilégios e o roubo de credenciais importantes. Além disso, a interrupção operacional pode acontecer por meio de malware ou ransomware.
Na prática, essas ações podem paralisar completamente as operações do sistema da empresa. Além disso, os criminosos podem tentar extorquir as organizações para que consigam recuperar seus acessos. A ameaça foi descoberta pela SecurityBridge e classificada com gravidade máxima, atingindo 9.9 de 10 no CVSS.
Essa alta classificação se deve não apenas ao impacto direto nos processos de negócio, mas também à ausência de soluções alternativas. Bloquear funções manualmente ou alterar configurações não resolve o problema. A única solução é aplicar o patch, ou seja, uma correção do software, que foi liberado pela SAP em agosto de 2025 (nota 3627998). A SecurityBridge informou que descobriu a vulnerabilidade e a reportou à SAP em 27 de junho de 2025, auxiliando também no desenvolvimento da correção.
Para que o ataque ocorra, o invasor precisa ter uma conta válida no SAP. Essa conta pode ser fraca, ter sido roubada em algum vazamento de dados ou pertencer a um fornecedor ou parceiro. Embora não seja um ataque 100% remoto sem credenciais, a chance de exploração é alta, pois muitas empresas possuem milhares de logins ativos.
Alguns dos produtos da SAP que apresentaram esta vulnerabilidade incluem:
- S/4HANA (Private Cloud ou On-Premise), versões S4CORE 102, 103, 104, 105, 106, 107, 108;
- Landscape Transformation (Analysis Platform), DMIS versões 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020;
- Business One (SLD), versão B1_ON_HANA 10.0 e SAP-M-BO 10.0;
- NetWeaver Application Server ABAP (BIC Document), versões S4COREOP 104, 105, 106, 107, 108, SEM-BW 600, 602, 603, 604, 605, 634, 736, 746, 747, 748.
O Patch de Segurança como Solução Essencial
A SAP ressalta que a aplicação do patch de segurança é a única medida eficaz para resolver essa vulnerabilidade. No entanto, algumas ações preventivas podem ajudar a minimizar os riscos e fortalecer a segurança do sistema. Essas medidas focam em monitoramento e controle de acessos dentro do ambiente SAP.
Entre as sugestões, a empresa destaca a importância de utilizar o SAP UCON (Unified Connectivity). Esse recurso permite limitar quem pode utilizar as funções RFC, reduzindo a superfície de ataque. É uma forma de controlar melhor as interações entre os sistemas, evitando acessos indevidos.
Outra dica importante é monitorar e revisar constantemente as autorizações, com atenção especial ao objeto S_DMIS (atividade 02). Fazer auditorias regulares nos logs do sistema também é fundamental. Isso ajuda a identificar atividades suspeitas, como a criação inesperada de usuários administradores. Modificações estranhas em códigos ABAP e execuções incomuns de RFCs também devem ser verificadas.
Manter os sistemas atualizados e seguir as recomendações de segurança da SAP é crucial para proteger as operações e dados sensíveis das empresas contra possíveis ataques. A vigilância contínua e a aplicação de correções são passos essenciais para manter a integridade do ambiente tecnológico.
Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.
