SAP Güvenlik Notları 2025: Kritik Risklerin Dramatik Artışı ve Acil Önlemler
2025 yılında SAP güvenlik notları hem sayı hem de şiddet açısından 2024'ü %39 oranında geçti. 25 adet HotNews notu, 5 tanesi mükemmel 10.0 CVSS skoruna sahip kritik zafiyetler SAP müşterilerini tehdit ediyor. SAP NetWeaver Visual Composer'da kimlik doğrulama eksikliği, Solution Manager'da kod enjeksiyonu ve S/4HANA'da ABAP kod enjeksiyonu gibi kritik zafiyetler acil müdahale gerektiriyor.
Bektas OZKAN
İçerik Editörü
2025 Yılında SAP Güvenlik Manzarası: Kritik Risklerin Yükselişi
2025 yılı henüz tamamlanmamış olmasına rağmen, SAP güvenlik notları açısından şimdiden alarm verici bir tablo ortaya çıkıyor. Yayınlanan güvenlik notlarının sayısı ve şiddeti, önceki yıllara kıyasla dramatik bir artış gösteriyor.
Rakamlarla 2025: Hacim ve Şiddet Artışı
SAP'nin 2025 yılında yayınladığı güvenlik notları, güvenlik uzmanlarının dikkatini çekiyor:
- 2025 yılı toplam not sayısı: 207 adet
- 2024 yılı toplam not sayısı: 149 adet
- Artış oranı: %39
Daha da endişe verici olan ise, bu notların şiddet dağılımı:
Yüksek/Kritik Seviye Notlar (CVSS 7.5+)
- HotNews notları (CVSS 9.0+): 25 adet (5 tanesi mükemmel 10.0 skoru)
- Yüksek öncelikli düzeltmeler (CVSS 7.5-8.9): 35 adet
2025'in En Kritik SAP Güvenlik Zafiyetleri
1. SAP Security Note 3594142
- CVSS 10.0
Zafiyet: SAP NetWeaver Visual Composer'da eksik yetkilendirme kontrolü
- CVSS Skoru: 10.0 (maksimum)
- CVE: CVE-2025-31324
- Kategori: HotNews
- Etki: Uzaktan, kimlik doğrulama gerektirmeden tam sistem ele geçirme
Bu zafiyet, saldırganların kötü amaçlı dosyalar yükleyerek sistemin tamamen ele geçirilmesine olanak tanıyor.
2. SAP Security Note 3668705
- CVSS 9.9
Zafiyet: SAP Solution Manager'da kod enjeksiyonu
- CVSS Skoru: 9.9
- CVE: CVE-2025-42887
- Keşfeden: SecurityBridge Research Labs
- Etki: Rastgele kod çalıştırma ve yüksek etkili pivot potansiyeli
Solution Manager ortamları genellikle müşteri altyapılarıyla derin entegrasyona sahip olduğu için, bu zafiyet son derece hassas.
3. SAP Security Note 3550816
- CVSS 8.8
Zafiyet: SAP NetWeaver'da SQL enjeksiyonu
- CVSS Skoru: 8.8
- CVE: CVE-2025-0063
- Keşfeden: SecurityBridge Research Labs
- Etki: Informix veritabanı üzerinde tam kontrol
Informix veritabanları yaygın olmasa da, bu zafiyet tam sistem ele geçirmeye yol açabilir.
4. SAP Security Note 3627998
- CVSS 8.8
Zafiyet: SAP S/4HANA'da kod enjeksiyonu
- CVSS Skoru: 8.8
- CVE: CVE-2025-42957
- Keşfeden: SecurityBridge Research Labs
- Etki: ABAP kod enjeksiyonu ve yetkilendirme kontrollerini atlama
S/4HANA günümüzde müşteriler için fiili standart olduğu için, bu zafiyet dünya çapında binlerce müşteriyi etkiliyor.
2025 vs 2024: Risk Karşılaştırması
Hacim Karşılaştırması
| Yıl | Not Sayısı | Değişim |
|---|---|---|
| 2024 | 149 |
- | | 2025 | 207 | +%39 artış |
Şiddet Karşılaştırması
HotNews Notları:
- 2024: 11 not (daha az 9.8+ CVSS skoru)
- 2025: 25 not (birden fazla 9.9 ve 10.0 CVSS skoru)
Yüksek Şiddetli Notlar (CVSS ≥ 7.5):
- 2024: 17 not
- 2025: 35 not (iki katına çıktı)
Artan Risk Alanları
2025 yılında özellikle şu alanlarda artış gözlemleniyor:
- İnternet'e açık bileşenler
- Kimlik doğrulama hassas sistemler
- Kritik orta katman yazılımları (ICM, Web Dispatcher)
- Yönetimsel/teknik arayüzler (Solution Manager, SAP Gateway)
- Kriptografik mekanizmalar
- Uzaktan çalıştırma yüzeyleri
- Sistemler arası güven ilişkileri
- Bulut bağlantılı SAP servisleri
Bütünsel Güvenlik Yaklaşımının Önemi
Güvenlik uzmanları, SAP ortamlarında bütünsel (holistic) bir güvenlik yaklaşımının kritik önemini vurguluyor. Bu yaklaşım:
- Proaktif zafiyet tespiti
- Sürekli güvenlik izleme
- Çapraz sistem etki analizi
- Hızlı yama yönetimi
gibi unsurları içermeli.
SAP Müşterilerinin Acil Yapması Gerekenler
1. HotNews Notlarına Öncelik Verin
CVSS 9+ skoruna sahip notlar derhal yamalanmalıdır. Gecikme, kritik güvenlik risklerine yol açabilir.
2. Çapraz Bileşen Etkilerini Değerlendirin
Birçok yüksek riskli zafiyet, tek bir SAP sisteminin ötesine yayılabilir. Sadece üretim sistemlerini değil, tüm SAP altyapınızı sertleştirin.
3. Zafiyet Tespit ve İzleme Yeteneklerini Güçlendirin
Saldırı girişimlerini tespit eden, yapılandırma zayıflıklarını bulan ve eksik yamaları belirleyen çözümler kullanın.
4. Daha Fazla Yüksek Riskli Nota Hazır Olun
Mevcut hız göz önüne alındığında, 2025 SAP zafiyet açıklamaları için rekor bir yıl olabilir.
Sonuç ve Öneriler
2025 yılı, SAP güvenlik zafiyetlerinin hem hacim hem de şiddet açısından 2024'ü geçtiği bir yıl olarak tarihe geçecek gibi görünüyor. Organizasyonlar:
- Acil yama stratejileri geliştirmeli
- Sürekli güvenlik izleme sistemleri kurmalı
- Bütünsel güvenlik yaklaşımı benimsemeli
- Proaktif zafiyet yönetimi yapmalı
SAP güvenliği artık sadece IT departmanının sorumluluğu değil, tüm organizasyonun stratejik bir önceliği haline gelmelidir.
Kaynak: Orijinal Makale
Etiketler
Paylaş
💬 Bu İçerik Hakkında Sorularınız mı Var?
Bu içerikle ilgili geri bildirim vermek veya daha detaylı bilgi almak için bizimle iletişime geçin.