Uma gravíssima falha de segurança no sistema de gestão empresarial SAP S/4HANA está sendo explorada por cibercriminosos. Essa vulnerabilidade, identificada como CVE-2025-42957, pode permitir que usuários comuns tomem controle total do sistema, injetem códigos maliciosos e acessem informações sensíveis sem autorização.
O SAP S/4HANA é crucial para muitas empresas, funcionando como o “cérebro” que gerencia dados de todos os setores, incluindo finanças, estoque, vendas, contratos e logística. Por isso, a exploração dessa falha é considerada muito séria, já que envolve dados que podem ser críticos para o funcionamento das operações empresariais.
Os hackers estão se aproveitando de uma falha no sistema Remote Function Call (RFC), uma ferramenta que permite que um sistema execute funções a partir de outro sistema remoto. A vulnerabilidade ocorre porque este sistema não está verificando as permissões dos usuários corretamente, permitindo que invasores criem contas de administrador. Isso garante a eles acesso contínuo a dados críticos e a capacidade de instalar ferramentas prejudiciais, como backdoors ou ransomware.
Os impactos de um ataque podem ser severos e incluem o roubo e manipulação de dados, injeção de códigos maliciosos e a criação de contas de acesso não autorizadas. Além disso, os hackers podem realizar o roubo de credenciais e causar paralisações operacionais por meio do uso de malware ou ransomwares. Em muitos casos, isso pode levar a empresas sendo extorquidas para reaver o controle de seus sistemas.
A vulnerabilidade foi descoberta pela empresa de segurança SecurityBridge, que a classificou como de gravidade máxima, recebendo uma nota de 9,9 em uma escala de 10. Essa classificação se deve ao impacto direto que a falha pode ter nos processos de negócio. Não há soluções alternativas disponíveis, como tentar bloquear funções manualmente ou mudar configurações; a única forma eficaz de proteção é aplicar um patch de segurança, uma correção de software liberada pela SAP em agosto de 2025. A SecurityBridge noticiou a falha à SAP em 27 de junho de 2025 e colaborou para o desenvolvimento do patch.
Para que os ataques ocorram, é necessário que o invasor tenha uma conta válida no sistema SAP, o que pode incluir contas fracas ou roubadas, ou mesmo credenciais de fornecedores e parceiros. Embora não seja um ataque totalmente remoto, a grande quantidade de logins ativos em muitas empresas aumenta a probabilidade de exploração.
Os produtos que apresentaram essa vulnerabilidade incluem:
– S/4HANA (nuvem privada ou local), nas versões S4CORE 102 a 108
– Landscape Transformation (plataforma de análise), versões DMIS 2011_1_700 até 2020
– Business One, versão B1_ON_HANA 10.0
– NetWeaver Application Server ABAP, nas versões S4COREOP 104 a 108 e SEM-BW 600 a 748
A SAP orienta que a única maneira de lidar com essa falha é aplicar o patch de segurança. No entanto, algumas medidas preventivas podem ser adotadas, incluindo:
– Uso do SAP UCON (Unified Connectivity) para restringir quem pode usar RFCs
– Monitoramento e revisão das autorizações, especialmente relacionadas ao objeto S_DMIS
– Auditoria dos logs para identificar atividades incomuns, como criação inesperada de contas de administrador e modificações estranhas em códigos.
Essas recomendações visam melhorar a segurança e minimizar os riscos associados à vulnerabilidade descoberta.
