Logo TecMundo
Segurança

Falha crítica no SAP expõe empresas a controle total por hackers

Vulnerabilidade no SAP S/4HANA permite que hackers criem contas de administrador e acessem dados sensíveis

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule05/09/2025, às 20:45

updateAtualizado em 08/09/2025, às 12:45

Uma falha crítica no sistema de gestão empresarial SAP S/4HANA está sendo explorada por cibercriminosos. A vulnerabilidade CVE-2025-42957 pode permitir que usuários comuns assumam o controle total do sistema, injetem código malicioso e acessem dados sensíveis sem autorização. 

A gravidade da exploração é relacionada à sensibilidade dos dados contidos no sistema de gestão. O SAP S/4HANA atua como o “cérebro” de empresas, reunindo informações de todos os setores de companhias, como financeiro, estoque, vendas, contratos e logística.

smart_display

Nossos vídeos em destaque

Como os hackers exploram a vulnerabilidade

Os criminosos estão explorando uma falha no sistema RFC - programa que permite que um sistema execute funções em outro sistema remoto. Esse sistema não estava conferindo permissões de usuários, o que permitiu que invasores criassem contas de administrador, garantindo acesso permanente a dados, informações sigilosas e até instalar backdoors ou ransomware.

Possíveis impactos do ataque incluem roubo de dados, manipulação de dados, injeção de código, escalada de privilégios através da criação de contas backdoor, roubo de credenciais e interrupção operacional por meio de malware, ransomware ou outros meios. Na prática, isso significa que haveria chances de paralisação total das operações do sistema, e que os criminosos podem extorquir as empresas para conseguirem seus acessos de volta.

Leia Mais
Chave de API do Google gera dívida de US$ 82 mil após ataque cibernético
Design sem nome(6).png
A companhia alemã, SAP, afirmou que única medida eficaz é a aplicação do patch de segurança  (Fonte: PandaSecurity/Reprodução)

A ameaça, descoberta pela SecurityBridge, foi classificada como de gravidade máxima (CVSS 9.9 de 10), não só por afetar diretamente processos de negócio vitais, mas por não possuir soluções alternativas — não adianta bloquear funções manualmente ou alterar configurações. A única medida eficaz é aplicar o patch, ou seja, uma correção do software, liberado pela SAP em agosto de 2025 (nota 3627998). A SecurityBridge afirmou que descobriu a vulnerabilidade e a denunciou responsavelmente à SAP em 27 de junho de 2025, e até ajudou no desenvolvimento do patch. 

Para tornar o ataque possível, o invasor precisa ter uma conta válida no SAP, que pode ser uma conta fraca, roubada em vazamento ou até de fornecedores e parceiros. Este não é um ataque 100% remoto sem credenciais, mas como muita empresa tem milhares de logins ativos, a chance de exploração é alta.

Alguns dos produtos que apresentaram vulnerabilidade são:

  • S/4HANA (Private Cloud or On-Premise), versions S4CORE 102, 103, 104, 105, 106, 107, 108;
  • Landscape Transformation (Analysis Platform), DMIS versions 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020;
  • Business One (SLD), version B1_ON_HANA 10.0 and SAP-M-BO 10.0;
  • NetWeaver Application Server ABAP (BIC Document), versions S4COREOP 104, 105, 106, 107, 108, SEM-BW 600, 602, 603, 604, 605, 634, 736, 746, 747, 748.

Patch de segurança é a única solução

A SAP explica que não há muito o que fazer além de aplicar o patch de segurança, mas algumas medidas preventivas podem ser úteis.

Leia Mais
F-39 Gripen: Conheça o caça que vai proteger Brasília
  • Usar SAP UCON (Unified Connectivity) para limitar quem pode usar RFCs;
  • Monitorar e revisar autorizações, especialmente no objeto S_DMIS (atividade 02);
  • Auditar logs em busca de: criação inesperada de usuários admins, modificações estranhas em código ABAP e execuções incomuns de RFCs.

Para continuar informado sobre as principais vulnerabilidades de sistemas, acompanhe o TecMundo nas redes sociais e no YouTube. Assine nossa newsletter para receber notícias sobre segurança e tecnologia.
 

Perguntas Frequentes

O que é a vulnerabilidade CVE-2025-42957 no SAP S/4HANA?
Trata-se de uma falha crítica no sistema de gestão empresarial SAP S/4HANA que permite que usuários comuns assumam controle total do sistema, criem contas de administrador, injetem código malicioso e acessem dados sensíveis sem autorização. A falha afeta diretamente processos vitais de negócios e foi classificada com gravidade máxima (CVSS 9.9 de 10).
Como os hackers exploram essa falha no SAP?
Os cibercriminosos exploram uma falha no sistema RFC (Remote Function Call), que permite a execução de funções em sistemas remotos. O problema está na ausência de verificação adequada de permissões, o que possibilita a criação de contas de administrador e instalação de backdoors ou ransomware, garantindo acesso permanente ao sistema.
Quais são os riscos práticos dessa vulnerabilidade para as empresas?
Os riscos incluem roubo e manipulação de dados, injeção de código malicioso, escalada de privilégios, roubo de credenciais e interrupção total das operações por meio de malware ou ransomware. Empresas podem ser extorquidas para recuperar o acesso aos seus sistemas.
Quais produtos SAP estão vulneráveis a essa falha?
Entre os produtos afetados estão: S/4HANA (Private Cloud ou On-Premise), Landscape Transformation (Analysis Platform), Business One (SLD) e NetWeaver Application Server ABAP. As versões específicas estão listadas no comunicado da SAP.
Existe alguma solução alternativa ao patch de segurança?
Não. A SAP afirma que a única solução eficaz é aplicar o patch de segurança (nota 3627998), lançado em agosto de 2025. Bloquear funções manualmente ou alterar configurações não resolve o problema.
Como os invasores obtêm acesso inicial ao sistema?
Para explorar a falha, o invasor precisa de uma conta válida no SAP, que pode ser obtida por meio de credenciais fracas, vazamentos de dados ou contas de fornecedores e parceiros. Como muitas empresas têm milhares de logins ativos, o risco de exploração é elevado.
Quais medidas preventivas podem ser adotadas além do patch?
Algumas ações recomendadas incluem: uso do SAP UCON para limitar o uso de RFCs, revisão de autorizações no objeto S_DMIS (atividade 02) e auditoria de logs para identificar criação suspeita de usuários administradores, alterações em código ABAP e execuções incomuns de RFCs.
Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

local_mall

Ofertas TecMundo

Atualizado há 1 dia
Fone de Ouvido Apple AirPods 4 com Estojo
36% off

Cupom 3DO3

Fone de Ouvido Apple AirPods 4 com Estojo

R$ 948,00

Áudio kabum.com.brnew_releases
Smartphone Motorola Edge 60 5G, 512GB
22% off

Aproveite!

Smartphone Motorola Edge 60 5G, 512GB

R$ 2.174,00

Celulares pontofrio.com.brnew_releases
Controle DualSense PlayStation 5
26% off

Imperdível!

Controle DualSense PlayStation 5

R$ 369,00

Gamer amazon.com.brnew_releases
Kindle, 16GB
14% off

Aproveite já!

Kindle, 16GB

R$ 559,00

Tablets amazon.com.brnew_releases
Echo Spot
19% off

Imperdível!

Echo Spot

R$ 469,00

Casa Inteligente amazon.com.brnew_releases
Smartphone Samsung Galaxy S25+ 5G, 256GB
45% off

Cupom GANHOU100

Smartphone Samsung Galaxy S25+ 5G, 256GB

R$ 4.409,10

Celulares magazineluiza.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA