Uma falha crítica SAP com pontuação CVSS 10.0, o nível mais alto possível na escala de gravidade de vulnerabilidades, acaba de ser revelada e corrigida pela empresa. O problema afeta diretamente componentes centrais do SAP NetWeaver e do S/4HANA, plataformas utilizadas em milhares de corporações ao redor do mundo para gerir finanças, logística, recursos humanos e operações críticas.
Em setembro de 2025, a SAP lançou um pacote de correções de segurança que inclui patches para falhas que variam de críticas a altas, incluindo a CVE-2025-42944, considerada de risco máximo. Neste artigo, vamos detalhar os riscos associados, explicar o impacto real dessas vulnerabilidades e fornecer orientações claras sobre como agir de forma imediata para proteger sua empresa.
Sistemas SAP são o coração de muitas operações corporativas globais. Qualquer vulnerabilidade grave, especialmente em escala CVSS 10.0, representa não apenas uma ameaça técnica, mas um risco direto ao negócio, com potencial de causar prejuízos milionários e danos irreversíveis à reputação da organização.
As vulnerabilidades críticas em detalhe
CVE-2025-42944: A ameaça máxima de execução remota de código
A CVE-2025-42944 foi classificada com CVSS 10.0 devido à sua gravidade. Trata-se de uma falha de desserialização no SAP NetWeaver, que permite a um invasor não autenticado executar comandos diretamente no sistema operacional subjacente.
Na prática, isso significa que qualquer atacante, sem credenciais, pode assumir controle total do servidor afetado. Essa condição abre espaço para roubo de dados, interrupção completa das operações e instalação de malwares, como ransomware.
CVE-2025-42922: O perigo do upload de arquivos
Outra falha crítica está no SAP NetWeaver AS Java. A CVE-2025-42922 permite que usuários com permissões limitadas realizem upload de arquivos maliciosos para o servidor, o que pode resultar em execução de código não autorizado, persistência no ambiente e escalonamento de privilégios.
Embora exija credenciais mínimas, o risco é elevado porque muitas empresas ainda utilizam perfis de usuários genéricos ou com permissões mal configuradas.
Outras falhas importantes no NetWeaver e S/4HANA
Além dessas, destacam-se:
- CVE-2025-42958: falha de autenticação no IBM i-series, comprometendo a segurança em ambientes híbridos.
- CVE-2025-42916: vulnerabilidade no SAP S/4HANA que pode permitir a exclusão indevida de tabelas, afetando a integridade dos dados críticos.
O risco real: O que uma falha CVSS 10.0 significa para sua empresa?
Quando falamos em uma falha crítica SAP com pontuação máxima de gravidade, não se trata de um risco teórico, mas de uma ameaça com impacto direto e devastador para o negócio.
Entre os potenciais danos, estão:
- Comprometimento total do servidor, com invasores obtendo acesso administrativo completo.
- Roubo de dados sensíveis, incluindo informações financeiras, registros de clientes e propriedade intelectual.
- Paralisação das operações corporativas, afetando produção, logística e atendimento ao cliente.
- Instalação de ransomware, bloqueando o acesso a dados até que um resgate seja pago.
O custo de um ataque bem-sucedido pode ultrapassar em muito os investimentos necessários para aplicar os patches.
Conexão perigosa: A exploração ativa de falhas anteriores do S/4HANA
O alerta se torna ainda mais grave quando consideramos que a CVE-2025-42957 já está sendo ativamente explorada por cibercriminosos. Isso mostra que o ecossistema SAP está sob atenção constante de atacantes e que novas falhas descobertas tendem a ser rapidamente integradas em campanhas maliciosas.
Ou seja: a janela entre a divulgação de uma vulnerabilidade e sua exploração prática é cada vez menor. Ignorar as atualizações de segurança não é mais uma opção — é um risco real e imediato.
Ação imediata: Como proteger seus sistemas SAP
Passo 1: Aplique os patches de segurança imediatamente
A medida mais urgente e eficaz é a aplicação imediata das atualizações de segurança disponibilizadas pela SAP. Administradores devem consultar as notas de segurança correspondentes e realizar a atualização sem atraso.
Passo 2: Considere mitigações temporárias
Enquanto os patches não são aplicados, especialistas da Onapsis recomendam adicionar filtragem de porta P4 no nível do ICM como medida paliativa. Isso pode reduzir a superfície de ataque, embora não substitua a correção oficial.
Passo 3: Revise suas configurações de segurança
Aproveite o momento para realizar uma auditoria completa das permissões e configurações dos ambientes SAP. Revise usuários, privilégios, logs e políticas de segurança para minimizar riscos adicionais.
Conclusão: Não espere para agir
A falha crítica SAP identificada com CVSS 10.0 representa um dos cenários de maior risco já vistos em soluções corporativas da empresa. Com ataques a versões anteriores já em andamento, é apenas uma questão de tempo até que as novas vulnerabilidades passem a ser exploradas em larga escala.
A mensagem é clara: não espere para agir. Verifique seus sistemas, planeje a aplicação imediata dos patches e implemente medidas preventivas adicionais. A segurança e a continuidade do seu negócio dependem de decisões rápidas e assertivas.
