Ngày 8 tháng 7 năm 2025, SAP đã công bố các bản cập nhật bảo mật quan trọng, giải quyết tổng cộng 27 lỗ hổng trong danh mục phần mềm doanh nghiệp của hãng. Trong số này, bảy lỗ hổng được phân loại là có mức độ nghiêm trọng cao nhất.
Ngày vá bảo mật hàng tháng này cũng bao gồm ba bản cập nhật cho các ghi chú bảo mật đã phát hành trước đó, nhấn mạnh những thách thức bảo mật liên tục mà các môi trường phần mềm doanh nghiệp phải đối mặt. Sự xuất hiện định kỳ của các bản vá lỗi này là minh chứng cho bối cảnh mối đe dọa không ngừng phát triển và nhu cầu cấp thiết về các biện pháp bảo vệ mạnh mẽ.
Tổng quan về các Lỗ hổng Bảo mật SAP tháng 7 năm 2025
Bản phát hành bảo mật tháng 7 năm 2025 của SAP đã đánh dấu một nỗ lực đáng kể trong việc củng cố tư thế bảo mật của các giải pháp doanh nghiệp. Số lượng đáng kể các lỗ hổng được giải quyết, đặc biệt là sự hiện diện của bảy lỗ hổng mức độ nghiêm trọng cao, cho thấy tầm quan trọng của việc duy trì các hệ thống SAP được cập nhật thường xuyên. Các lỗ hổng này có thể ảnh hưởng đến nhiều thành phần cốt lõi của hệ thống SAP, từ các ứng dụng quản lý quan hệ khách hàng đến các giải pháp quản lý chuỗi cung ứng, và thậm chí cả các tiện ích hệ thống.
Sự chú ý đặc biệt được dành cho các lỗ hổng có thể bị khai thác từ xa hoặc dẫn đến việc kiểm soát hoàn toàn hệ thống. Mức độ nghiêm trọng của các lỗ hổng này đòi hỏi các tổ chức phải hành động nhanh chóng để giảm thiểu rủi ro tiềm tàng.
CVE-2025-30012: Lỗ hổng CVSS 10.0 trong SAP SRM Live Auction Cockpit
Lỗ hổng nghiêm trọng nhất được công bố là CVE-2025-30012, ảnh hưởng đến thành phần Live Auction Cockpit của hệ thống SAP Supplier Relationship Management (SRM). Lỗ hổng này đạt điểm CVSS tối đa là 10.0, cho thấy mức độ nghiêm trọng cực kỳ cao và khả năng bị khai thác dễ dàng với tác động tàn khốc.
Lỗ hổng CVE-2025-30012 là một lỗ hổng tổng hợp, bao gồm nhiều điểm yếu khác, cụ thể là CVE-2025-30009, CVE-2025-30010, CVE-2025-30011 và CVE-2025-30018. Sự kết hợp của các lỗ hổng này có thể cho phép kẻ tấn công giành được quyền kiểm soát hệ thống hoàn toàn. Thành phần Live Auction Cockpit thường được sử dụng trong các quy trình đấu giá trực tuyến của doanh nghiệp, xử lý thông tin nhạy cảm và các giao dịch kinh doanh quan trọng. Việc một kẻ tấn công có thể kiểm soát thành phần này có thể dẫn đến việc thao túng đấu giá, đánh cắp dữ liệu độc quyền hoặc gián đoạn hoạt động kinh doanh nghiêm trọng. Tầm quan trọng của dữ liệu và quy trình mà SAP SRM quản lý càng làm tăng mức độ rủi ro liên quan đến lỗ hổng này.
Các Lỗ hổng Code Injection và Deserialization Khác
Các lỗ hổng loại code injection và deserialization chiếm ưu thế trong nhóm các lỗ hổng nghiêm trọng, với năm lỗ hổng khác đạt điểm CVSS 9.1. Lỗ hổng code injection cho phép kẻ tấn công chèn và thực thi mã độc trong ứng dụng, có thể dẫn đến kiểm soát hoàn toàn hệ thống hoặc trích xuất dữ liệu nhạy cảm. Tương tự, lỗ hổng deserialization phát sinh khi ứng dụng xử lý dữ liệu không đáng tin cậy, cho phép kẻ tấn công thao túng luồng thực thi của chương trình và chèn các đối tượng độc hại, thường dẫn đến thực thi mã từ xa (RCE) hoặc từ chối dịch vụ (DoS). Cả hai loại lỗ hổng này đều cực kỳ nguy hiểm trong môi trường doanh nghiệp.
Trong số này, CVE-2025-42967 là một lỗ hổng code injection đáng chú ý, ảnh hưởng đến thành phần Characteristic Propagation trong các hệ thống SAP S/4HANA và SAP SCM. Lỗ hổng này tác động đến nhiều phiên bản trên các dòng sản phẩm SCMAPO, S4CORE, S4COREOP và SCM. Khả năng tiêm mã vào các hệ thống cốt lõi như SAP S/4HANA có thể gây ra những hậu quả sâu rộng, từ việc xâm phạm tính toàn vẹn của dữ liệu đến việc chiếm đoạt các quy trình kinh doanh thiết yếu.
Các Vấn đề Bảo mật trong Tiện ích SAPCAR
Các bản vá cũng giải quyết một số lỗ hổng trong tiện ích lưu trữ SAPCAR, một công cụ phổ biến được sử dụng để nén và giải nén các tập tin trong môi trường SAP. Các lỗ hổng này bao gồm:
- CVE-2025-43001: Lỗ hổng leo thang đặc quyền (privilege escalation). Lỗ hổng này có thể cho phép kẻ tấn công có quyền truy cập hạn chế vào hệ thống nâng cao đặc quyền của họ, dẫn đến khả năng thực hiện các hành động trái phép trên hệ thống.
- CVE-2025-42970: Lỗ hổng duyệt thư mục (directory traversal). Lỗ hổng này có thể cho phép kẻ tấn công đọc hoặc ghi các tệp ngoài thư mục dự kiến, tiềm ẩn rủi ro tiết lộ thông tin hoặc sửa đổi tệp hệ thống.
- CVE-2025-42971: Lỗ hổng hỏng bộ nhớ (memory corruption). Lỗ hổng hỏng bộ nhớ trong tiện ích như SAPCAR có thể dẫn đến việc thực thi mã tùy ý hoặc gây ra sự cố từ chối dịch vụ, làm gián đoạn tính sẵn sàng của hệ thống.
Mặc dù SAPCAR là một tiện ích, nhưng việc khai thác các lỗ hổng trong nó có thể cung cấp một bàn đạp cho kẻ tấn công để xâm nhập sâu hơn vào hệ thống SAP hoặc gây ra sự gián đoạn nghiêm trọng, đặc biệt nếu tiện ích này được sử dụng trên các hệ thống có quyền cao.
Khuyến nghị và Ưu tiên Vá lỗi
SAP khuyến nghị mạnh mẽ các tổ chức thực hiện vá lỗi ngay lập tức, đặc biệt đối với các lỗ hổng nghiêm trọng ảnh hưởng đến các hệ thống hướng ra internet. Các hệ thống này thường là điểm truy cập chính cho các cuộc tấn công mạng và việc giữ chúng được cập nhật là cực kỳ quan trọng để ngăn chặn các cuộc tấn công bên ngoài.
Các tổ chức nên ưu tiên các bản cập nhật dựa trên cảnh quan SAP cụ thể và mức độ phơi nhiễm của họ. Một quy trình đánh giá rủi ro toàn diện cần được tiến hành để xác định mức độ ưu tiên của từng bản vá. Các bản vá quan trọng đòi hỏi sự chú ý khẩn cấp để ngăn chặn khả năng xâm phạm hệ thống. Điều này bao gồm:
- Xác định hệ thống phơi nhiễm: Ưu tiên các hệ thống SAP có thể truy cập được từ internet hoặc đóng vai trò quan trọng trong các quy trình kinh doanh.
- Đánh giá tác động kinh doanh: Hiểu rõ tác động tiềm ẩn của việc khai thác lỗ hổng đối với hoạt động kinh doanh và dữ liệu nhạy cảm.
- Kiểm thử và triển khai: Mặc dù cần thiết phải vá lỗi nhanh chóng, việc kiểm thử kỹ lưỡng các bản vá trong môi trường phi sản xuất là rất quan trọng để đảm bảo tính ổn định và khả năng tương thích của hệ thống trước khi triển khai rộng rãi.
- Giám sát liên tục: Sau khi vá lỗi, tiếp tục giám sát các hệ thống để phát hiện bất kỳ dấu hiệu hoạt động bất thường nào.
Việc không áp dụng kịp thời các bản vá có thể khiến các tổ chức dễ bị tổn thương trước các cuộc tấn công mạng, dẫn đến mất dữ liệu, gián đoạn hoạt động, hoặc tổn hại danh tiếng. Do đó, việc duy trì một chiến lược quản lý bản vá lỗi chủ động và hiệu quả là yếu tố then chốt để bảo vệ môi trường SAP phức tạp.
