Một lỗ hổng CVE nghiêm trọng trong hệ thống SAP S/4HANA, được theo dõi dưới mã CVE-2025-42957, đang bị các đối tượng tấn công khai thác tích cực.
Thông tin chi tiết về lỗ hổng CVE-2025-42957
Lỗ hổng này được gán điểm CVSS 9.9/10, cho phép người dùng có đặc quyền thấp thực thi tấn công chèn mã (code injection).
Kẻ tấn công có thể giành quyền kiểm soát hoàn toàn hệ thống SAP S/4HANA.
Các tổ chức đang vận hành SAP S/4HANA tại chỗ (on-premise) hoặc trong môi trường đám mây riêng cần áp dụng bản vá của nhà cung cấp ngay lập tức.
Việc này nhằm ngăn chặn nguy cơ chiếm quyền điều khiển hệ thống.
Quá trình phát hiện và vá lỗi
Phòng thí nghiệm Nghiên cứu Mối đe dọa của SecurityBridge đã phát hiện lỗ hổng CVE này trong quá trình kiểm tra bảo mật định kỳ.
Thông tin về lỗ hổng được công bố cho SAP vào ngày 27 tháng 6 năm 2025.
SAP đã phát hành bản vá như một phần của Patch Day tháng 8 năm 2025, vào ngày 11 tháng 8 cùng năm.
Tuy nhiên, SecurityBridge đã xác nhận rằng lỗ hổng CVE-2025-42957 đang bị sử dụng trong các cuộc tấn công mạng thực tế.
Điều này đồng nghĩa với việc các hệ thống chưa được vá vẫn phải đối mặt với rủi ro bảo mật cao.
Để biết thêm chi tiết về phát hiện ban đầu, độc giả có thể tham khảo blog của SecurityBridge tại SecurityBridge Blog.
Cơ chế khai thác và tác động
Việc khai thác CVE-2025-42957 chỉ yêu cầu một tài khoản người dùng SAP hợp lệ.
Tài khoản này cần có quyền truy cập vào một mô-đun RFC dễ bị tổn thương và đối tượng ủy quyền S_DMIS với hoạt động 02.
Không cần bất kỳ tương tác người dùng bổ sung nào, chẳng hạn như nhấp vào liên kết độc hại.
Sau khi khai thác thành công, kẻ tấn công có thể thực hiện nhiều hành vi độc hại:
- Thực thi mã tùy ý với đặc quyền của dịch vụ SAP trên máy chủ ứng dụng.
- Truy cập và sửa đổi cơ sở dữ liệu SAP cùng dữ liệu kinh doanh quan trọng.
- Tạo người dùng mới với đặc quyền cao hoặc sửa đổi người dùng hiện có.
- Cài đặt backdoor để duy trì quyền truy cập lâu dài.
- Thay đổi cấu hình hệ thống SAP, gây gián đoạn hoạt động hoặc phá hoại dữ liệu.
Tính đơn giản của cuộc tấn công cùng với bản chất hoạt động qua mạng khiến lỗ hổng CVE này trở nên cực kỳ nguy hiểm.
Một tác nhân đe dọa có thể bắt đầu bằng thông tin đăng nhập cơ bản, thu được qua lừa đảo (phishing) hoặc truy cập nội bộ.
Từ đó, chúng có thể nhanh chóng leo thang đặc quyền để chiếm quyền điều khiển toàn bộ môi trường SAP.
Sau khi kiểm soát, kẻ tấn công có thể giả mạo các bản ghi tài chính, đánh cắp dữ liệu khách hàng, hoặc triển khai mã độc tống tiền trên các máy chủ cơ sở.
Phản ứng và biện pháp giảm thiểu
SecurityBridge chưa quan sát thấy các chiến dịch toàn cầu trên diện rộng.
Tuy nhiên, việc khai thác nhắm mục tiêu đã được xác nhận.
Các chuyên gia cảnh báo rằng việc đảo ngược kỹ thuật bản vá SAP cho lỗ hổng CVE này tương đối dễ dàng.
Điều này là do mã ABAP có tính chất mở và hiển thị.
Sự dễ dàng trong việc phát triển khai thác nhấn mạnh tính cấp bách của việc cập nhật bản vá.
Hướng dẫn cập nhật bản vá và bảo vệ hệ thống
Để giảm thiểu rủi ro bảo mật, khách hàng SAP nên thực hiện các bước sau:
- Cập nhật bản vá ngay lập tức cho các hệ thống SAP S/4HANA bị ảnh hưởng.
- Giám sát các hoạt động đáng ngờ liên quan đến mô-đun RFC và đối tượng ủy quyền S_DMIS.
- Đảm bảo rằng chỉ những người dùng có nhu cầu công việc thực sự mới có quyền truy cập vào các mô-đun nhạy cảm và đối tượng ủy quyền.
- Thực hiện phân tích lỗ hổng và kiểm tra thâm nhập định kỳ trên môi trường SAP.
- Triển khai các giải pháp bảo mật SAP chuyên biệt để phát hiện và ngăn chặn các cuộc tấn công.
Các tổ chức sử dụng nền tảng SecurityBridge cũng có thể phát hiện và chặn các nỗ lực khai thác CVE-2025-42957.
Điều này mang lại khả năng hiển thị sâu rộng vào các hoạt động đáng ngờ.
Sự cố này nhấn mạnh tầm quan trọng thiết yếu của việc cập nhật bản vá kịp thời và giám sát liên tục để đối phó với các lỗ hổng CVE như thế này trong các môi trường SAP.
Các doanh nghiệp phải coi lỗ hổng CVE này là một trường hợp khẩn cấp.
Ưu tiên triển khai cập nhật nhanh chóng và tăng cường tư thế bảo mật SAP tổng thể để ngăn chặn gian lận, mất dữ liệu hoặc gián đoạn hoạt động tiềm ẩn.
