Vulnerabilidades recentemente divulgadas na GUI do SAP para Windows e Java armazenam dados de usuários com criptografia desatualizada ou inexistente, representando riscos de conformidade e violação para as empresas.

Foi descoberto que a interface gráfica do usuário (GUI) do SAP, uma interface confiável para centenas de milhares de empresas globais, armazena dados confidenciais de usuários com criptografia desatualizada, o que pode permitir vazamentos de dados.

De acordo com Jonathan Stross, pesquisador da Pathlock, e Julian Petersohn, da Fortinet, algumas vulnerabilidades de divulgação de informações afetam o recurso de histórico de entrada de dados do usuário nas versões Windows (CVE-2025-0055) e Java (CVE-2025-0056).

As vulnerabilidades recém-divulgadas afetam a forma como os dados inseridos pelo usuário, como nomes de usuário, documentos de identidade nacionais e números de contas bancárias, são armazenados localmente, seja descriptografados ou protegidos com uma chave XOR fraca e reutilizável.

“Ambas as vulnerabilidades CVE-2025-0055 e CVE-2025-0056 representam um risco organizacional significativo decorrente de práticas inseguras de armazenamento local de dados”, afirmou Mayuresh Dani, gerente de pesquisa de segurança da Qualys. “Embora os campos de senha sejam excluídos do histórico de entradas do SAP GUI, o escopo de dados confidenciais expostos que um agente de ameaça pode acessar é extenso.”

A SAP, em coordenação com a equipe da Pathlock, lançou silenciosamente patches de segurança e medidas de mitigação relevantes em janeiro de 2025, acessíveis apenas aos clientes do SAP GUI.

Criptografia XOR fraca é explorável

No cerne do CVE-2025-0055 está uma falha de criptografia simples. O SAP GUI para Windows armazena valores inseridos anteriormente, como IDs de usuário ou CPFs, em um arquivo de banco de dados SQLite local usando criptografia exclusiva baseada em OR (XOR). No entanto, a criptografia usa a mesma chave estática para cada entrada, e um único valor conhecido é suficiente para descriptografar o restante.

“As entradas são salvas em um arquivo de banco de dados SQLite3 (SAPHistory<WINUSER>.db) usando um esquema de criptografia XOR fraco, o que as torna fáceis de reverter com esforço mínimo”, disse Stross, da Pathlock, em uma publicação no blog.

O CVE-2025-0056 revelou uma abordagem ainda mais flexível na interface gráfica do usuário (GUI) do SAP para Java, onde os dados de histórico são armazenados completamente sem criptografia. Isso significa que objetos Java serializados contendo entradas confidenciais do usuário podem ser acessados ​​livremente por qualquer pessoa que consiga acessar a máquina.

O problema é muito maior em clientes Java, de acordo com Jason Soroko, pesquisador sênior da Sectigo. “O mesmo histórico é gravado em pastas específicas da plataforma como objetos Java simples e serializados — sem criptografia alguma”, disse ele. “Qualquer pessoa que obtenha acesso local ou remoto ao sistema de arquivos de um laptop roubado, uma estação de trabalho comprometida ou um simples ponto de apoio para phishing pode coletar os arquivos de histórico para acelerar o movimento lateral, elaborar spear-phishing convincente ou acumular dados que desencadeiem violações de conformidade.”

A Pathlok também alertou que, apesar de uma classificação CVSS média de 6 em 10, as falhas podem levar a problemas de conformidade, citando riscos de falhas de auditoria em conformidade com o GDPR, PCI DSS ou HIPAA. A SAP não respondeu a perguntas sobre este assunto.

O impacto pode ser muito maior.

Dani observou que uma violação dessas vulnerabilidades pode facilitar novos ataques direcionados. “Sem desconsiderar o fato de que esses dados extraídos fornecem aos invasores material suficiente para atividades de reconhecimento, um agente de ameaças pode compreender a estrutura organizacional, os padrões de uso e as configurações do sistema a partir da exploração dessas vulnerabilidades e transformá-los em armas para ataques de personalização, como spear phishing, para comprometer efetivamente um usuário-alvo e realizar novos ataques”, disse Dani.

A pesquisa da Pathlock também levou à descoberta de uma falha relacionada no SAP NetWeaver AS ABAP, rastreada como CVE-2025-0059, que afeta a interface gráfica do usuário (GUI) do SAP para HTML, decorrente do mesmo problema subjacente. Embora a SAP ainda não tenha corrigido essa variante, a Pathlock teme que a correção possa não ser uma solução permanente para esses problemas.

De acordo com Stross, mecanismos de fallback podem potencialmente comprometer as versões atualizadas lançadas pela SAP com criptografia mais forte – SAP GUI para Windows 8.00 Patch Nível 9+ e SAP GUI para Java 7.80 PL9+ ou 8.10, tornando-as ineficazes.

A Pathlock recomenda desabilitar completamente o histórico de entrada para mitigar permanentemente o risco.