SAP NetWeaver AS Java platformunda tespit edilen 13 yeni güvenlik açığı, özellikle CVE-2025-42944 kodlu yüksek şiddetli serileştirme zafiyetiyle dikkat çekiyor. Bu açık, kimlik doğrulaması gerektirmeden RMI-P4 modülü üzerinden kötü amaçlı yüklerin gönderilmesine ve rastgele işletim sistemi komutlarının çalıştırılmasına olanak tanıyor.
Serileştirme Açığı ve JVM Sertleştirmeleri
Güvensiz Java nesnelerinin serileştirilmesi, uygulamanın gizlilik, bütünlük ve kullanılabilirliğini ciddi şekilde tehdit ediyor. SAP, bu açığı geçen ay ele alırken, güvenlik firması Onapsis tarafından bildirilen ek koruma katmanı, JVM genelinde jdk.serialFilter filtresi ile belirli sınıfların serileştirilmesini engelliyor. Bu liste, ORL iş birliğiyle zorunlu ve isteğe bağlı bölümlere ayrılarak saldırı yüzeyi azaltılıyor.
Diğer Kritik Zafiyetler
Önemli diğer açıklar arasında, CVE-2025-42937 kodlu SAP Yazdırma Servisi’ndeki dizin geçiş zafiyeti (CVSS 9.8) bulunuyor. Bu zafiyet, kimlik doğrulaması yapılmamış saldırganların üst dizine erişip sistem dosyalarını değiştirmesine izin veriyor. Ayrıca, SAP Tedarikçi İlişkileri Yönetimi’nde (CVE-2025-42910, CVSS 9.0) sınırsız dosya yükleme açığı, kötü amaçlı yürütülebilir dosyaların sisteme yüklenmesine olanak sağlıyor.
Riskler ve Önlemler
Henüz bu açıkların aktif olarak kötüye kullanıldığına dair kanıt bulunmasa da, siber güvenlik uzmanları en güncel yamaların hızla uygulanmasını öneriyor. Pathlock’tan Jonathan Stross, P4/RMI zincirinin AS Java’da kritik bir zafiyet oluşturduğunu ve SAP’nin gadget-sınıf kötüye kullanımını azaltmak için sertleştirilmiş JVM yapılandırması yayımladığını belirtiyor.
Bu gelişmeler, özellikle konteyner ortamlarında rastgele SSH portları ve MCP istemcileri gibi bileşenlerin güvenliği için kritik önem taşıyor. Güvenlik ekiplerinin, Pydantic AI ve AsyncRAT gibi otomasyon ve tehdit tespit araçlarıyla desteklenen kapsamlı analizler yapması öneriliyor.