Introductie

Recent heeft SAP bekende beveiligingskwetsbaarheden in haar producten verholpen. Deze kwetsbaarheden waren aanwezig in SAP NetWeaver en het ABAP-platform en konden de vertrouwelijkheid, integriteit en beschikbaarheid van systemen beïnvloeden. Hier volgt een uitgebreide samenvatting van de belangrijkste details en oplossingen zoals geïdentificeerd door het Nationaal Cyber Security Centrum (NCSC).

Overzicht van Kwetsbaarheden

De kwetsbaarheden die in de SAP-producten zijn ontdekt, omvatten een breed scala aan beveiligingsrisico’s:

• Incorrecte Machtigingstoewijzing voor Kritieke Bronnen: Dit houdt in dat belangrijke systeembronnen niet adequaat zijn beschermd, wat kan leiden tot ongeoorloofde toegang.
• Misserende Autorisatie: In bepaalde situaties kunnen gebruikers toegang krijgen zonder de juiste autorisatieprocessen te doorlopen.
• Onjuiste Authenticatie: Biedt een ingang voor aanvallers om ongeoorloofd systeemtoegang te verkrijgen.
• Blootstelling van Gevoelige Systeemsinformatie: Onbevoegden zouden toegang tot gevoelige data kunnen krijgen door tekortkomingen in de beveiliging.
• Onbeperkte Upload van Gevaarlijke Bestanden: Dit kan leiden tot de introductie van schadelijke elementen in het systeem.
• SQL Injection: Het mogelijk misbruiken van SQL-query’s om toegang tot data te krijgen.

Beschrijving en Impact

De problemen doen zich voornamelijk voor binnen SAP NetWeaver Application Server voor ABAP en de ABAP Platforms. Beveiligingslekken in authentificatiecontroles stellen aanvallers in staat om hun rechten uit te breiden en daarmee toegang te krijgen tot gevoelige informatie. Dit vergroot de kans op vertrouwenschendingen en de beschadiging van cruciale datasets. Daarnaast zijn er gevaarlijke kwetsbaarheden zoals SQL-injectie en cross-site scripting geïdentificeerd, die aanvallers in potentie de mogelijkheid bieden om meer complexe aanvallen uit te voeren.

Betrokken Platforms en Producten

De kwetsbaarheden zijn geconstateerd in verschillende platformen en producten van SAP. Hieronder een greep uit de producten die zijn aangedaan:

• SAP NetWeaver Application Server (ABAP en Java)
• SAP GUI for Windows en Java
• SAP Business Workflow
• SAP BusinessObjects Business Intelligence Platform
• Internet Communication Framework

Oplossingen

SAP heeft patches en updates uitgebracht om de getroffen systemen te beveiligen. Het wordt aanbevolen dat organisaties onmiddellijk deze updates toepassen om hun systemen te beschermen tegen potentiële aanvallen. Voor meer details en downloads van de fixes, kunnen gebruikers de volgende link bezoeken om toegang te krijgen tot aanvullende expertisebronnen.

CVE-Referenties

Hier zijn enkele kritieke Common Vulnerabilities and Exposures (CVE) identificatienummers die betrekking hebben op de genoemde kwetsbaarheden:

• CVE-2025-0053
• CVE-2025-0055
• CVE-2025-0056
• CVE-2025-0057
• CVE-2025-0068

Het NCSC stelt de informatie in deze advisory met de grootste zorg samen, maar kan niet instaan voor de volledigheid of nauwkeurigheid ervan. Het wordt verstrekt als algemene informatie en het NCSC of de staat kunnen niet verantwoordelijk worden gehouden voor eventuele schade die voortkomt uit het gebruik ervan. Geschillen voortvloeiend uit deze advisory vallen onder de jurisdictie van de rechtbank in Den Haag, Nederland.

---

Door snel en adequaat te handelen, kunnen organisaties de risico’s die voortkomen uit deze kwetsbaarheden mitigeren en de integriteit van hun systemen waarborgen.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----