SAP S/4HANA, một trong những hệ thống quản trị nguồn lực doanh nghiệp (ERP) phổ biến nhất thế giới đang đối mặt với một lỗ hổng bảo mật cực kỳ nghiêm trọng có mã hiệu CVE-2025-42957.
Lỗ hổng có điểm CVSS 9,9/10, gần như cao nhất có thể, cho thấy mức độ nguy hiểm và tiềm năng gây thiệt hại rất lớn. Theo các chuyên gia, lỗ hổng này hiện đã bị khai thác ngoài thực tế, cho phép hacker dễ dàng chiếm toàn quyền điều khiển hệ thống SAP.
Đây là một lỗi chèn lệnh (Command Injection) nằm trong chức năng Remote Function Call (RFC), một giao thức được dùng để các module trong hệ thống SAP giao tiếp với nhau. Lỗi cho phép kẻ tấn công chèn mã ABAP độc hại vào hệ thống, vượt qua các cơ chế phân quyền và bảo mật nội bộ. Nôm na tức là kẻ tấn công có thể chèn mã tùy ý vào hệ thống SAP thông qua module RFC và thực thi nó như thể có quyền cao nhất
Điều đáng báo động là kẻ tấn công chỉ cần quyền người dùng thông thường (low-privileged user) cũng có thể tận dụng lỗ hổng này để:
Lỗ hổng ảnh hưởng đến mọi hệ thống SAP S/4HANA, bao gồm cả:
Lỗi được SAP phát hiện và vá vào tháng 8/2025 trong đợt cập nhật bảo mật định kỳ. Tuy nhiên, các chuyên gia tại SecurityBridge Threat Research Labs đã sớm phát hiện ra hoạt động khai thác diễn ra sau đó không lâu. Họ cảnh báo rằng việc "dịch ngược" bản vá để tạo mã khai thác là khá dễ dàng, đồng nghĩa với việc tin tặc hoàn toàn có thể phát triển công cụ tấn công tự động từ lỗ hổng này trong thời gian ngắn.
Thông qua giao thức RFC, hacker có thể gửi yêu cầu có chứa mã lệnh độc hại đến hệ thống SAP. Nếu hệ thống chưa được vá lỗi, mã này sẽ được thực thi như thể nó đến từ người dùng hợp lệ và có quyền cao nhất. Điều nguy hiểm là không có cảnh báo hoặc dấu hiệu rõ ràng, trừ khi hệ thống được giám sát rất kỹ.
Sau khi chiếm quyền kiểm soát, hacker có thể:
Lỗ hổng có điểm CVSS 9,9/10, gần như cao nhất có thể, cho thấy mức độ nguy hiểm và tiềm năng gây thiệt hại rất lớn. Theo các chuyên gia, lỗ hổng này hiện đã bị khai thác ngoài thực tế, cho phép hacker dễ dàng chiếm toàn quyền điều khiển hệ thống SAP.
Đây là một lỗi chèn lệnh (Command Injection) nằm trong chức năng Remote Function Call (RFC), một giao thức được dùng để các module trong hệ thống SAP giao tiếp với nhau. Lỗi cho phép kẻ tấn công chèn mã ABAP độc hại vào hệ thống, vượt qua các cơ chế phân quyền và bảo mật nội bộ. Nôm na tức là kẻ tấn công có thể chèn mã tùy ý vào hệ thống SAP thông qua module RFC và thực thi nó như thể có quyền cao nhất
Điều đáng báo động là kẻ tấn công chỉ cần quyền người dùng thông thường (low-privileged user) cũng có thể tận dụng lỗ hổng này để:
- Thực thi mã ABAP (ngôn ngữ lập trình riêng của SAP) vào hệ thống.
- Tạo tài khoản quản trị viên cấp cao nhất với quyền “SAP_ALL”.
- Tải về toàn bộ mã hash mật khẩu từ cơ sở dữ liệu SAP.
- Thay đổi quy trình nghiệp vụ, sửa dữ liệu tài chính hoặc lộ thông tin chiến lược.
- Triển khai tại chỗ (On-Premise)
- Phiên bản Đám mây Riêng (Private Cloud Edition)
Lỗi được SAP phát hiện và vá vào tháng 8/2025 trong đợt cập nhật bảo mật định kỳ. Tuy nhiên, các chuyên gia tại SecurityBridge Threat Research Labs đã sớm phát hiện ra hoạt động khai thác diễn ra sau đó không lâu. Họ cảnh báo rằng việc "dịch ngược" bản vá để tạo mã khai thác là khá dễ dàng, đồng nghĩa với việc tin tặc hoàn toàn có thể phát triển công cụ tấn công tự động từ lỗ hổng này trong thời gian ngắn.
Thông qua giao thức RFC, hacker có thể gửi yêu cầu có chứa mã lệnh độc hại đến hệ thống SAP. Nếu hệ thống chưa được vá lỗi, mã này sẽ được thực thi như thể nó đến từ người dùng hợp lệ và có quyền cao nhất. Điều nguy hiểm là không có cảnh báo hoặc dấu hiệu rõ ràng, trừ khi hệ thống được giám sát rất kỹ.
Sau khi chiếm quyền kiểm soát, hacker có thể:
- Tạo cửa hậu (backdoor)
- Cài ransomware
- Sao chép dữ liệu kinh doanh nhạy cảm
- Thay đổi logic xử lý đơn hàng, tài chính, nhân sự… mà người dùng không hay biết.
- Cập nhật bản vá tháng 8/2025 của SAP (bắt buộc).
- Giám sát log hệ thống để phát hiện:
- Các cuộc gọi RFC bất thường.
- Việc tạo tài khoản admin trái phép.
- Triển khai SAP UCON để giới hạn các kết nối RFC không cần thiết.
- Rà soát và hạn chế quyền truy cập với object phân quyền S_DMIS (activity 02).
- Tách hệ thống SAP khỏi internet nếu không cần truy cập từ xa.
- Tăng cường sao lưu định kỳ, lưu offline.
- Đào tạo đội ngũ vận hành SAP về các rủi ro và dấu hiệu bị xâm nhập.
- Không chủ quan với “người dùng thường”: Vì chính các tài khoản ít quyền lực lại có thể trở thành cửa ngõ nguy hiểm nếu không được kiểm soát kỹ.
- Lỗi bảo mật không đến từ phần mềm mà đến từ cách vận hành: Cấu hình sai, lười cập nhật, chủ quan với cảnh báo là những nguyên nhân lớn nhất dẫn đến bị tấn công.
- SAP không phải là hệ thống độc lập: Nếu bị xâm nhập, hacker có thể lan rộng qua hệ thống nội bộ, tiếp cận các tài sản số khác của doanh nghiệp.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview