SAP đã phát hành các bản cập nhật bảo mật quan trọng vào ngày 12 tháng 8 năm 2025, giải quyết 15 lỗ hổng trên danh mục phần mềm doanh nghiệp của mình. Đáng chú ý, ba lỗ hổng tiêm mã (code injection) nghiêm trọng đã nhận được điểm CVSS cao nhất là 9.9, đòi hỏi hành động khẩn cấp từ các tổ chức.
Trong khuôn khổ Ngày Vá Bảo Mật hàng tháng, SAP cũng đã cung cấp bốn bản cập nhật cho các ghi chú bảo mật đã phát hành trước đó. Điều này nhấn mạnh sự cần thiết liên tục trong việc bảo vệ môi trường khách hàng khỏi các mối đe dọa đang phát triển. Chi tiết về các bản vá có thể được tìm thấy trên Cổng Hỗ trợ của SAP: SAP Support Portal.
Phân Tích Chi Tiết Bản Vá Bảo Mật SAP Tháng 8/2025
Chu kỳ vá lỗi tháng 8 này tập trung vào các lỗ hổng trải rộng trên nhiều sản phẩm SAP và các mức độ nghiêm trọng khác nhau. Các lỗ hổng này có thể gây ra rủi ro đáng kể nếu không được khắc phục kịp thời.
Các Lỗ Hổng Bảo Mật SAP Loại Code Injection Nguy Hiểm
Các lỗ hổng nghiêm trọng nhất được vá trong tháng này là ba lỗ hổng tiêm mã. Chúng có thể cho phép kẻ tấn công thực thi mã tùy ý với đặc quyền leo thang. Điều này dẫn đến nguy cơ chiếm quyền điều khiển hệ thống từ xa.
- CVE-2025-42957: Ảnh hưởng đến SAP S/4HANA, nhận xếp hạng mức độ nghiêm trọng tối đa.
- CVE-2025-42950: Tác động đến SAP Landscape Transformation, cũng nhận xếp hạng mức độ nghiêm trọng tối đa.
- CVE-2025-27429: Đây là lỗ hổng tiêm mã trong S/4HANA đã được tiết lộ trước đó và được vá lần đầu vào tháng 4 năm 2025. SAP đã cập nhật bản vá này để tăng cường bảo mật.
Các lỗ hổng tiêm mã này đặc biệt đáng lo ngại vì chúng ảnh hưởng đến các sản phẩm cốt lõi của SAP được triển khai rộng rãi trong môi trường doanh nghiệp. Các lỗ hổng này cho phép các cuộc tấn công dựa trên mạng với độ phức tạp thấp, chỉ yêu cầu đặc quyền cấp thấp và không cần tương tác người dùng. Điều này làm cho chúng trở thành mục tiêu hấp dẫn cho các tác nhân đe dọa muốn xâm nhập vào các hệ thống SAP.
Các Lỗ Hổng Khác Được Khắc Phục trong Bản Vá Bảo Mật SAP
Ngoài các lỗ hổng tiêm mã quan trọng, SAP còn giải quyết nhiều vấn đề bảo mật khác. Các vấn đề này bao gồm các lỗ hổng XSS (cross-site scripting), các vấn đề bỏ qua xác thực và các lỗ hổng tiết lộ thông tin.
- Lỗ hổng XSS: Nhiều lỗ hổng XSS với điểm CVSS 6.1 đã được vá. Chúng ảnh hưởng đến các thành phần của NetWeaver Application Server. Mặc dù các lỗ hổng này yêu cầu tương tác người dùng để khai thác, chúng vẫn có thể tạo điều kiện cho các cuộc tấn công lừa đảo (phishing) hoặc đánh cắp dữ liệu trong các kịch bản có mục tiêu.
- Phạm vi rộng: Chu kỳ vá lỗi bao gồm các bản sửa lỗi cho SAP GUI for Windows và SAP Cloud Connector. Điều này thể hiện phạm vi rộng lớn trong các nỗ lực bảo trì an ninh của SAP.
Khuyến Nghị và Biện Pháp Khắc Phục Lỗ Hổng SAP
SAP đặc biệt khuyến nghị khách hàng truy cập Cổng Hỗ trợ ngay lập tức và áp dụng các bản vá này một cách ưu tiên. Điều này đặc biệt quan trọng đối với ba lỗ hổng tiêm mã nghiêm trọng. Các tổ chức nên ưu tiên vá các hệ thống SAP hướng ra Internet và các hệ thống xử lý dữ liệu nhạy cảm.
Đội ngũ bảo mật cần coi chu kỳ vá lỗi này là khẩn cấp do mức độ nghiêm trọng của các lỗ hổng tiêm mã và khả năng thực thi mã từ xa. Cần phối hợp chặt chẽ với các quản trị viên SAP để đảm bảo triển khai nhanh chóng trên tất cả các hệ thống bị ảnh hưởng.
Ngoài ra, công ty cũng đã công bố các hướng dẫn cấu hình bảo mật toàn diện. Các hướng dẫn này giúp các tổ chức duy trì tư thế bảo mật mạnh mẽ trên toàn bộ danh mục SAP của họ. Việc tuân thủ các hướng dẫn này là cần thiết để giảm thiểu rủi ro bảo mật tiềm ẩn.
