Nemecký gigant podnikového softvéru SAP vydal rozsiahlu sadu bezpečnostných aktualizácií riešiacich viaceré zraniteľnosti naprieč svojím ekosystémom podnikového softvéru, vrátane dvoch kritických chýb postihujúcich jeho vlajkové platformy Commerce Cloud a S/4HANA — systémy široko používané nadnárodnými korporáciami, vládnymi agentúrami, výrobcami, maloobchodníkmi a finančnými inštitúciami po celom svete.
Májové bezpečnostné vydanie 2026 obsahuje záplaty pre 15 samostatných zraniteľností naprieč niekoľkými produktmi SAP, podľa poradných správ zverejnených spoločnosťou. Bezpečnostní výskumníci a analytici varujú, že chyby mohli predstavovať vážne riziká pre organizácie prevádzkujúce SAP prostredia dostupné z internetu, najmä uprostred širšieho nárastu útokov zameraných na systémy podnikového plánovania zdrojov (ERP) a cloudovú infraštruktúru.
Zraniteľnosť Commerce Cloud umožňuje vzdialené spustenie kódu
Najzávažnejšia zraniteľnosť, sledovaná ako CVE-2026-34263, postihuje SAP Commerce Cloud, podnikovú e-commerce platformu spoločnosti používanú poprednými globálnymi maloobchodníkmi a veľkými online podnikmi. SAP zaradil problém do kategórie kritickej závažnosti po zistení, že útočníci môžu chybu zneužiť bez overenia totožnosti.
Podľa poradenstva SAP zraniteľnosť pramení z nesprávnej konfigurácie Spring Security, ktorá by mohla útočníkom umožniť nahrávanie škodlivých konfigurácií a vkladanie ľubovoľného kódu do zraniteľných systémov.
Experti na kybernetickú bezpečnosť tvrdia, že takéto chyby sú obzvlášť nebezpečné, pretože môžu útočníkom potenciálne poskytnúť vzdialenú kontrolu nad servermi spracúvajúcimi zákaznícke transakcie, objednávkové dáta, platobné procesy a interné podnikové operácie.
„Zraniteľnosti vzdialeného spustenia kódu bez overenia patria medzi najrizikovejšie kategórie v podnikovom softvéri,“ uviedol jeden bezpečnostný analytik oboznámený s prostrediami SAP. „V prípade úspešného zneužitia môžu útočníci prejsť z jednej zraniteľnej webovej aplikácie do širších firemných systémov, v závislosti od segmentácie a oprávnení.“
SAP varoval, že úspešné zneužitie by mohlo mať „vysoký dopad na dôvernosť, integritu a dostupnosť,“ čo v praxi znamená, že útočníci by mohli kradnúť citlivé informácie, meniť obchodné dáta alebo úplne narušiť prevádzku.
Zraniteľnosť SQL injection v S/4HANA vyvoláva obavy o bezpečnosť ERP
Druhá kritická chyba, identifikovaná ako CVE-2026-34260, postihuje SAP S/4HANA, novú generáciu cloudovej ERP sady spoločnosti, ktorá postupne nahrádza staršiu platformu ECC ERP používanú podnikmi pre financie, obstarávanie, logistiku, výrobu a správu dodávateľského reťazca.
Na rozdiel od problému Commerce Cloud si zneužitie chyby S/4HANA vyžaduje základné používateľské oprávnenia. Výskumníci však poznamenali, že prístup na nízkej úrovni je často získateľný prostredníctvom phishingových útokov, odcudzených prihlasovacích údajov, hrozieb z vnútra alebo kompromitovaných účtov dodávateľov.
SAP uviedol, že zraniteľnosť umožňuje útoky SQL injection z dôvodu nesprávneho zaobchádzania so vstupom zadaným používateľom.
„Aplikácia priamo zreťazuje škodlivý vstup používateľa do SQL dopytov bez riadneho overenia alebo sanitácie,“ uviedla spoločnosť vo svojej poradnej správe.
Úspešné zneužitie by mohlo útočníkom umožniť získanie citlivých databázových informácií alebo potenciálne zlyhanie aplikácií, čo by vytvorilo značné prevádzkové a finančné riziká pre organizácie závislé od systémov SAP pre každodenné podnikové funkcie.
ERP systémy sú čoraz viac cieľom kyberzločincov
ERP systémy zostávajú atraktívnymi cieľmi, pretože centralizujú vysoko hodnotné podnikové dáta, vrátane mzdových záznamov, duševného vlastníctva, obstarávacích systémov, zmlúv s dodávateľmi, informácií o zákazníkoch a infraštruktúry finančného výkazníctva.
„Sú to systémy korunných klenotov,“ uviedol európsky výskumník spravodajských informácií o hrozbách monitorujúci útoky na predajcov podnikového softvéru. „Kompromitácia ERP platformy môže útočníkom poskytnúť prehľad o prakticky každej vrstve podnikových operácií korporácie.“
Rastúca digitalizácia globálnych dodávateľských reťazcov a úsilie o migráciu do cloudu rozšírili útočnú plochu pre prostredia podnikového softvéru, čím sa ERP platformy stali atraktívnejšími pre ransomvérové gangy a skupiny pokročilých trvalých hrozieb.
Ďalšie zraniteľnosti opravené naprieč produktmi SAP
Okrem dvoch kritických zraniteľností májové bezpečnostné vydanie SAP tiež opravilo jednu chybu vysokej závažnosti a 11 problémov strednej závažnosti postihujúcich viaceré produkty a komponenty.
Zraniteľnosti zahŕňajú:
- Chyby vkladania príkazov
- Chýbajúce kontroly autorizácie
- Zraniteľnosti cross-site scripting (XSS)
- Problémy cross-site request forgery (CSRF)
- Slabiny odmietnutia služby
- Zlyhania overovania vstupov
Hoci SAP uviedol, že neidentifikoval dôkazy o aktívnom zneužívaní v súvislosti s novoodhalenými chybami, agentúry a výskumníci v oblasti kybernetickej bezpečnosti opakovane varovali, že zraniteľnosti SAP sú čoraz viac zbrane tanto kyberzločincami, ako aj aktérmi napojenými na štáty.
CISA predtým označila viaceré chyby SAP ako zneužité
V posledných rokoch americká Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) pridala do svojho katalógu Known Exploited Vulnerabilities najmenej 14 zraniteľností súvisiacich so SAP — zoznamu vyhradeného pre chyby potvrdené ako použité pri skutočných útokoch.
Niektoré z týchto zraniteľností boli neskôr spojené s ransomvérovými operáciami zameranými na veľké podniky a organizácie kritickej infraštruktúry.
Podľa priemyselných analytikov aktéri hrozieb čoraz viac presúvajú pozornosť na ekosystémy podnikových aplikácií namiesto tradičných útokov na koncové body. Prostredia ERP sú obzvlášť cenné, pretože mnohé organizácie majú problém s ich rýchlym záplatovaním kvôli prevádzkovej zložitosti a obavám z narušenia podnikania.
Systémy SAP často stoja v centre globálnych podnikových operácií. Záplatovanie môže vyžadovať testovacie cykly, okná údržby a koordináciu naprieč viacerými oddeleniami, čo útočníkom poskytuje väčšie príležitostné okno.
Nedávny útok na dodávateľský reťazec zvýšil bezpečnostný tlak
Najnovšie zraniteľnosti sa objavujú aj uprostred zvýšenej pozornosti venovanej bezpečnosti softvérového dodávateľského reťazca v ekosystéme SAP.
Začiatkom tohto roka vyšetrovatelia odhalili, že viaceré oficiálne npm balíčky SAP boli kompromitované pri útoku na dodávateľský reťazec navrhnutom na krádež prihlasovacích údajov vývojárov a autentifikačných tokenov. Výskumníci uviedli, že kampaň poukázala na rastúce riziká spojené so závislosťami tretích strán a vývojárskymi nástrojmi prepojenými s podnikovými prostrediami.
Útoky na dodávateľský reťazec sa stali jedným z najvýznamnejších kybernetických bezpečnostných problémov pre veľké korporácie po niekoľkých významných incidentoch za posledné desaťročie, vrátane kompromitácií týkajúcich sa poskytovateľov podnikového softvéru, platforiem spravovaných služieb a repozitárov open-source.
Globálny dosah SAP zosilňuje potenciálny dopad
SAP so sídlom vo Walldorfe v Nemecku zostáva najväčším predajcom podnikového softvéru na svete podľa výnosov a trhového podielu. Spoločnosť vykázala ročné výnosy presahujúce 36 miliárd eur vo fiškálnom roku 2025 a uvádza, že jej softvér používa 99 zo 100 najväčších svetových spoločností.
Keďže produkty SAP sú základom finančných operácií, obstarávacích systémov, výrobných pipeline, logistickej infraštruktúry a maloobchodného obchodu pre mnohé nadnárodné organizácie, zraniteľnosti postihujúce ekosystém môžu mať ďalekosiahle dôsledky naprieč globálnymi dodávateľskými reťazcami.
Bezpečnostní experti naliehajú na okamžité záplatovanie
Bezpečnostní experti naliehajú na zákazníkov SAP, aby okamžite uprednostnili nasadenie záplat, najmä pre internetovo exponované nasadenia Commerce Cloud a prostredia S/4HANA dostupné cez externé portály alebo infraštruktúru vzdialeného prístupu.
Organizáciám sa tiež odporúča:
- Skontrolovať konfigurácie overenia a oprávnení
- Auditovať exponované služby SAP
- Monitorovať protokoly na podozrivú SQL aktivitu
- Obmedziť zbytočný externý prístup
- Implementovať segmentáciu siete okolo ERP systémov
- Overiť integrácie a závislosti tretích strán
- Vykonať hodnotenia kompromitácie tam, kde je to realizovateľné
Analytici varujú, že kód exploitu konceptu sa často objavuje krátko po verejnom zverejnení kritických podnikových zraniteľností, čo výrazne zvyšuje riziká zneužitia v priebehu dní alebo týždňov od vydania záplat.
„Keď sa poradné správy stanú verejnými, útočníci začnú takmer okamžite spätne analyzovať záplaty,“ uviedol jeden výskumník. „Spoločnosti, ktoré odkladajú nápravu, sa často stávajú ľahkými cieľmi.“
Rastúci tlak na predajcov podnikového softvéru
Najnovšia bezpečnostná aktualizácia SAP zdôrazňuje rastúci tlak, ktorému čelia predajcovia podnikového softvéru, keďže organizácie naďalej migrujú misijne kritické systémy do hybridného cloudu a internetovo prepojených prostredí, čím rozširujú potenciálnu útočnú plochu pre sofistikované kybernetické hrozby.
Keďže ransomvérové skupiny, finančne motivovaní kyberzločinci a aktéri národných štátov sa čoraz viac zameriavajú na zásobníky podnikových aplikácií, odborníci na kybernetickú bezpečnosť tvrdia, že rýchla správa záplat a nepretržité monitorovanie sa stávajú základnými prevádzkovými požiadavkami, nie voliteľnými osvedčenými postupmi.
Viac informácií:
https://www.linkedin.com/pulse/sap-rushes-emergency-security-updates-critical-5pi9e