Um alerta vermelho soa para empresas que dependem do SAP S/4HANA: a vulnerabilidade crítica CVE-2025-42957, com pontuação CVSS 9.9 de 10, já está sob exploração ativa por cibercriminosos. A falha coloca em risco a integridade e a continuidade de operações que dependem desse sistema.
Neste artigo, vamos detalhar o que torna a CVE-2025-42957 tão perigosa, como ela funciona em termos técnicos, quais os cenários possíveis de exploração e, principalmente, quais medidas sua equipe de TI deve adotar imediatamente para proteger o coração do seu negócio.
O SAP S/4HANA é considerado a espinha dorsal de milhares de corporações globais. Uma vulnerabilidade que permite o controle total do sistema não é apenas uma questão de TI, mas um risco direto à continuidade operacional, integridade financeira e proteção de dados estratégicos.
O que é a CVE-2025-42957?
A CVE-2025-42957 é uma falha classificada como injeção de comando no módulo de função exposta via RFC (Remote Function Call). Em termos práticos, isso significa que um invasor com privilégios relativamente baixos pode injetar e executar código ABAP arbitrário, contornando mecanismos de segurança existentes.
Essa brecha abre espaço para a execução remota de código, comprometendo a confidencialidade, a integridade e a disponibilidade do sistema. A pontuação CVSS 9.9 reflete justamente essa gravidade: a exploração é relativamente simples, e o impacto em caso de sucesso é devastador.
O impacto devastador de uma exploração bem-sucedida
Quando um invasor explora a CVE-2025-42957, ele pode assumir o controle total do ambiente SAP. Isso inclui desde manipulações operacionais até o comprometimento completo da infraestrutura crítica.
Cenários de ataque
Criação de superusuários
O invasor pode criar contas com privilégios SAP_ALL, o que lhe garante controle irrestrito sobre o ambiente. Na prática, isso equivale a conceder a si mesmo um passe livre para qualquer operação dentro do sistema.
Fraude e roubo de dados
Com acesso privilegiado, o atacante pode alterar processos de negócio, manipular bancos de dados e extrair informações sensíveis. Isso inclui dados financeiros, propriedade intelectual, registros de clientes e hashes de senha.
Porta de entrada para ransomware
Segundo alertas do SecurityBridge, a vulnerabilidade pode servir como vetor para implantar ransomware dentro do SAP. Isso significaria a paralisação total das operações, seguida de tentativas de extorsão de valores milionários para liberar o acesso.
Medidas de proteção e mitigação urgentes
A gravidade da CVE-2025-42957 exige uma resposta imediata. Cada hora sem proteção aumenta o risco de comprometimento.
Aplicação imediata do patch
A SAP já liberou a correção oficial. A instalação do patch deve ser a prioridade máxima para todas as organizações que utilizam o SAP S/4HANA. Adiar essa ação equivale a deixar a porta escancarada para invasores.
Monitoramento e vigilância
Revisão de logs
É fundamental analisar os logs de sistema em busca de chamadas RFC suspeitas e monitorar a criação de novos usuários administrativos. Atividades fora do padrão podem indicar exploração em andamento.
Restringir o acesso
Recomenda-se implementar o SAP UCON para restringir o uso de RFCs e revisar autorizações do objeto S_DMIS, reduzindo a superfície de ataque.
Medidas de resiliência
Segmentação e backups
A segmentação de rede pode ajudar a conter a propagação de um ataque, enquanto backups consistentes e testados garantem que a empresa consiga se recuperar mesmo em cenários extremos, como um ataque de ransomware.
Conclusão: uma corrida contra o tempo
A CVE-2025-42957 representa uma das ameaças mais sérias já observadas no ecossistema SAP S/4HANA. O fato de já estar sendo ativamente explorada significa que não há espaço para complacência.
Não espere se tornar uma estatística.
Verifique seus sistemas, aplique os patches recomendados pela SAP e revise imediatamente suas políticas de segurança. A proteção dos seus dados, clientes e da continuidade do seu negócio depende das ações que você tomar hoje.
