SAP Rilis Tambalan Darurat: Tiga Celah Kritis Ancam Keamanan Data Perusahaan
Baca dalam 60 detik
- SAP merilis 19 patch keamanan pada Juli 2026, dengan tiga celah kritis yang berpotensi memungkinkan akses dan modifikasi data tanpa otorisasi.
- Celah paling parah (CVSS 9.9) menyerang NetWeaver Application Server ABAP, sementara dua lainnya menargetkan Approuter dan Commerce Cloud dengan skor 9.1.
- Pengguna di Indonesia yang masih menggunakan konfigurasi default OAuth2 pada Commerce Cloud sangat rentan, mengingat banyak perusahaan lokal belum melakukan audit keamanan menyeluruh.

Raksasa perangkat lunak enterprise Jerman, SAP, merilis 19 notifikasi keamanan baru dan pembaruan pada Selasa lalu sebagai bagian dari jadwal patch bulan Juli 2026. Di antara celah yang ditambal, tiga kerentanan mendapat status kritis karena berpotensi membuka akses bagi peretas untuk membaca, mengubah, bahkan melumpuhkan sistem yang digunakan oleh ribuan perusahaan di seluruh dunia, termasuk di Indonesia.
Celah dengan tingkat keparahan tertinggi adalah CVE-2026-44747, yang memperoleh skor CVSS 9,9 dari skala 10. Kerentanan ini merupakan bug korupsi memori pada NetWeaver Application Server ABAP. Menurut firma keamanan SAP, Onapsis, eksploitasi berhasil atas celah ini memungkinkan penyerang mengakses dan memodifikasi data, serta menyebabkan sistem tidak tersedia. Sebagai langkah sementara sebelum menerapkan patch, SAP menyarankan pengguna menonaktifkan semua node ICF dengan properti tertentu di transaksi SICF.
Celah kritis kedua, CVE-2026-27690 (CVSS 9,1), menyerang Approuter โ komponen yang berfungsi sebagai gerbang lalu lintas aplikasi. Kerentanan ini memungkinkan penyelundupan permintaan HTTP (HTTP request smuggling) pada lingkungan non-Cloud Foundry. Onapsis menjelaskan bahwa penyerang tanpa autentikasi dapat mengirim permintaan HTTP yang dirancang khusus sehingga menyebabkan desinkronisasi respons permintaan, yang berpotensi membocorkan data sensitif atau membajak sesi pengguna.
Celah kritis ketiga, CVE-2026-44761 (CVSS 9,1), ditemukan di Commerce Cloud. Bug ini terkait dengan kredensial kerasandi (hardcoded) pada skrip konfigurasi sampel yang sebelumnya disediakan di SAP Help Portal untuk keperluan pengembangan dan pengujian. Skrip tersebut mengonfigurasi klien OAuth2 dengan kredensial yang diketahui publik. Jika pelanggan menjalankan skrip itu dan mempertahankan klien OAuth2 hasilnya di lingkungan produksi tanpa mengganti rahasia yang dikodekan, penyerang dapat memperoleh token akses dan menyalahgunakannya untuk memanggil API tertentu, membaca, dan mengutak-atik data sistem.
Yang mengkhawatirkan, dokumentasi SAP lama untuk Commerce Cloud tidak memperingatkan pelanggan agar tidak mengimpor pengaturan bawaan ke produksi. Meskipun patch terbaru telah memperbaiki kelalaian ini, Onapsis mendesak pelanggan untuk mengaudit lingkungan produksi mereka guna memastikan tidak ada kredensial kerasandi yang masih tertinggal. โPelanggan yang telah menghapus klien sampel atau mengganti rahasia dengan nilai yang kuat dan unik tidak terpengaruh,โ catat Onapsis.
Selain tiga celah kritis, SAP juga merilis enam notifikasi keamanan untuk kerentanan tingkat tinggi yang memengaruhi Integration Suite (Edge Integration Cell), SAProuter, NetWeaver Application Server Java (Configuration Wizard), Approuter, Commerce Cloud, dan Change and Transport System Attach Tool (ctsattach). Patch untuk Integration Suite dan Commerce Cloud juga mencakup perbaikan untuk beberapa bug keamanan Apache Camel dan Apache Tomcat. Sementara itu, notifikasi sisanya menangani kerentanan tingkat sedang dan rendah di berbagai produk seperti NetWeaver, S/4HANA, Fiori, CRM, dan HANA Extended Application Services Classic Model.
Bagi perusahaan di Indonesia yang mengadopsi ekosistem SAP, terutama Commerce Cloud, langkah audit menjadi krusial. Banyak perusahaan ritel dan manufaktur di Tanah Air yang masih menggunakan konfigurasi default demi kemudahan integrasi, tanpa menyadari risiko yang mengintai. Para ahli keamanan siber menyarankan agar tim TI segera menerapkan patch dan melakukan peninjauan ulang terhadap seluruh klien OAuth2 yang berjalan di lingkungan produksi. Pertanyaan yang kini mengemuka: seberapa siap perusahaan Indonesia menghadapi ancaman yang mengeksploitasi celah konfigurasi yang sebenarnya sudah diketahui sejak lama?



