Uma falha crítica no sistema de gestão empresarial SAP S/4HANA está sendo explorada por cibercriminosos. A vulnerabilidade CVE-2025-42957 pode permitir que usuários comuns assumam o controle total do sistema, injetem código malicioso e acessem dados sensíveis sem autorização. A gravidade da exploração é relacionada à sensibilidade dos dados contidos no sistema de gestão. O SAP S/4HANA atua como o “cérebro” de empresas, reunindo informações de todos os setores de companhias, como financeiro, estoque, vendas, contratos e logística. Um dos clientes brasileiros do sistema é a Fundação Bradesco, que usa-o para controle de estoque de alimentos e análise financeira.Como os hackers exploram a vulnerabilidadeOs criminosos estão explorando uma falha no sistema RFC - programa que permite que um sistema execute funções em outro sistema remoto. Esse sistema não estava conferindo permissões de usuários, o que permitiu que invasores criassem contas de administrador, garantindo acesso permanente a dados, informações sigilosas e até instalar backdoors ou ransomware.Possíveis impactos do ataque incluem roubo de dados, manipulação de dados, injeção de código, escalada de privilégios através da criação de contas backdoor, roubo de credenciais e interrupção operacional por meio de malware, ransomware ou outros meios. Na prática, isso significa que haveria chances de paralisação total das operações do sistema, e que os criminosos podem extorquir as empresas para conseguirem seus acessos de volta.A companhia alemã, SAP, afirmou que única medida eficaz é a aplicação do patch de segurança (Fonte: PandaSecurity/Reprodução)A ameaça, descoberta pela SecurityBridge, foi classificada como de gravidade máxima (CVSS 9.9 de 10), não só por afetar diretamente processos de negócio vitais, mas por não possuir soluções alternativas - não adianta bloquear funções manualmente ou alterar configurações. A única medida eficaz é aplicar o patch, ou seja, uma correção do software, liberado pela SAP em agosto de 2025 (nota 3627998). A SecurityBridge afirmou que descobriu a vulnerabilidade e a denunciou responsavelmente à SAP em 27 de junho de 2025, e até ajudou no desenvolvimento do patch. Para tornar o ataque possível, o invasor precisa ter uma conta válida no SAP, que pode ser uma conta fraca, roubada em vazamento ou até de fornecedores ou parceiros. Este não é um ataque 100% remoto sem credenciais, mas como muita empresa tem milhares de logins ativos, a chance de exploração é alta.Alguns dos produtos que apresentaram vulnerabilidade são:S/4HANA (Private Cloud or On-Premise), versions S4CORE 102, 103, 104, 105, 106, 107, 108;Landscape Transformation (Analysis Platform), DMIS versions 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020;Business One (SLD), version B1_ON_HANA 10.0 and SAP-M-BO 10.0;NetWeaver Application Server ABAP (BIC Document), versions S4COREOP 104, 105, 106, 107, 108, SEM-BW 600, 602, 603, 604, 605, 634, 736, 746, 747, 748.Patch de segurança é a única soluçãoA SAP explica que não há muito o que fazer além de aplicar o patch de segurança, mas algumas medidas preventivas podem ser úteis.Usar SAP UCON (Unified Connectivity) para limitar quem pode usar RFCs;Monitorar e revisar autorizações, especialmente no objeto S_DMIS (atividade 02);Auditar logs em busca de: criação inesperada de usuários admins, modificações estranhas em código ABAP e execuções incomuns de RFCs.Para continuar informado sobre as principais vulnerabilidades de sistemas, acompanhe o TecMundo nas redes sociais e no YouTube. Assine nossa newsletter para receber notícias sobre segurança e tecnologia.