Uma falha crítica no sistema de gestão empresarial SAP S/4HANA está sendo explorada por cibercriminosos. A vulnerabilidade CVE-2025-42957 pode permitir que usuários comuns assumam o controle total do sistema, injetem código malicioso e acessem dados sensíveis sem autorização.
A gravidade da exploração é relacionada à sensibilidade dos dados contidos no sistema de gestão. O SAP S/4HANA atua como o “cérebro” de empresas, reunindo informações de todos os setores de companhias, como financeiro, estoque, vendas, contratos e logística. Um dos clientes brasileiros do sistema é a Fundação Bradesco, que usa-o para controle de estoque de alimentos e análise financeira.
Como os hackers exploram a vulnerabilidade
Os criminosos estão explorando uma falha no sistema RFC – programa que permite que um sistema execute funções em outro sistema remoto. Esse sistema não estava conferindo permissões de usuários, o que permitiu que invasores criassem contas de administrador, garantindo acesso permanente a dados, informações sigilosas e até instalar backdoors ou ransomware.
Possíveis impactos do ataque incluem roubo de dados, manipulação de dados, injeção de código, escalada de privilégios através da criação de contas backdoor, roubo de credenciais e interrupção operacional por meio de malware, ransomware ou outros meios. Na prática, isso significa que haveria chances de paralisação total das operações do sistema, e que os criminosos podem extorquir as empresas para conseguirem seus acessos de volta.
A ameaça, descoberta pela SecurityBridge, foi classificada como de gravidade máxima (CVSS 9.9 de 10), não só por afetar diretamente processos de negócio vitais, mas por não possuir soluções alternativas – não adianta bloquear funções manualmente ou alterar configurações. A única medida eficaz é aplicar o patch, ou seja, uma correção do software, liberado pela SAP em agosto de 2025 (nota 3627998). A SecurityBridge afirmou que descobriu a vulnerabilidade e a denunciou responsavelmente à SAP em 27 de junho de 2025, e até ajudou no desenvolvimento do patch.
Para tornar o ataque possível, o invasor precisa ter uma conta válida no SAP, que pode ser uma conta fraca, roubada em vazamento ou até de fornecedores ou parceiros. Este não é um ataque 100% remoto sem credenciais, mas como muita empresa tem milhares de logins ativos, a chance de exploração é alta.
Alguns dos produtos que apresentaram vulnerabilidade são:
- S/4HANA (Private Cloud or On-Premise), versions S4CORE 102, 103, 104, 105, 106, 107, 108;
- Landscape Transformation (Analysis Platform), DMIS versions 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020;
- Business One (SLD), version B1_ON_HANA 10.0 and SAP-M-BO 10.0;
- NetWeaver Application Server ABAP (BIC Document), versions S4COREOP 104, 105, 106, 107, 108, SEM-BW 600, 602, 603, 604, 605, 634, 736, 746, 747, 748.
Patch de segurança é a única solução
A SAP explica que não há muito o que fazer além de aplicar o patch de segurança, mas algumas medidas preventivas podem ser úteis.
- Usar SAP UCON (Unified Connectivity) para limitar quem pode usar RFCs;
- Monitorar e revisar autorizações, especialmente no objeto S_DMIS (atividade 02);
- Auditar logs em busca de: criação inesperada de usuários admins, modificações estranhas em código ABAP e execuções incomuns de RFCs.
Para continuar informado sobre as principais vulnerabilidades de sistemas, acompanhe o TecMundo nas redes sociais e no YouTube. Assine nossa newsletter para receber notícias sobre segurança e tecnologia.
