-
09/04/2020
-
112
-
1.098 bài viết
SAP Security Patch Day 9/2025 xử lý loạt lỗ hổng nguy hiểm trong NetWeaver và Java
SAP vừa công bố 25 ghi chú bảo mật tháng 9/2025, gồm 21 lỗ hổng mới và 4 cập nhật. Đáng lo ngại nhất là 4 lỗ hổng nghiêm trọng có thể mở đường cho tin tặc chiếm quyền kiểm soát toàn bộ hệ thống.
Tiếp theo là CVE-2025-42922 trong SAP NetWeaver AS Java (Deploy Web Service) với điểm CVSS 9,9. Chỉ cần quyền hạn tối thiểu, kẻ tấn công đã có thể tùy ý thao tác trên tệp tin, từ đọc và chỉnh sửa đến xóa dữ liệu quan trọng, trực tiếp đe dọa tính toàn vẹn của hệ thống.
Không kém phần đáng lo, SAP còn cập nhật CVE-2023-27500 – lỗ hổng Directory Traversal tồn tại lâu nay trong SAP NetWeaver AS for ABAP và ABAP Platform. Với điểm CVSS 9,6, nó cho phép ghi đè lên các tệp hệ thống cốt lõi, kéo theo nguy cơ gián đoạn toàn diện và hỏng dữ liệu.
Cuối cùng là CVE-2025-42958, một lỗ hổng Missing Authentication check trong SAP NetWeaver. Dù đòi hỏi kẻ tấn công có đặc quyền cao, nhưng khi bị khai thác, cơ chế xác thực sẽ hoàn toàn bị bỏ qua, mở đường cho truy cập trái phép vào các chức năng và dữ liệu nhạy cảm.
Điểm chung của loạt lỗ hổng lần này là tác động trực tiếp đến tính bảo mật và toàn vẹn của SAP. Nếu bị khai thác, hệ quả không chỉ dừng ở việc rò rỉ hay hỏng dữ liệu, mà còn có thể làm tê liệt toàn bộ chuỗi vận hành doanh nghiệp.
SAP khuyến nghị quản trị viên cần:
Theo Cyber Security News
4 lỗ hổng nghiêm trọng của SAP
Trong loạt bản vá lần này, CVE-2025-42944 nổi bật như một “cơn ác mộng” thực sự. Đây là lỗ hổng Insecure Deserialization trong SAP NetWeaver (RMI-P4), đạt điểm CVSS tuyệt đối 10,0. Chỉ với một gói tin độc hại gửi từ xa, kẻ tấn công không cần tài khoản vẫn có thể thực thi mã tùy ý và nhanh chóng chiếm quyền kiểm soát toàn bộ hệ thống.Tiếp theo là CVE-2025-42922 trong SAP NetWeaver AS Java (Deploy Web Service) với điểm CVSS 9,9. Chỉ cần quyền hạn tối thiểu, kẻ tấn công đã có thể tùy ý thao tác trên tệp tin, từ đọc và chỉnh sửa đến xóa dữ liệu quan trọng, trực tiếp đe dọa tính toàn vẹn của hệ thống.
Không kém phần đáng lo, SAP còn cập nhật CVE-2023-27500 – lỗ hổng Directory Traversal tồn tại lâu nay trong SAP NetWeaver AS for ABAP và ABAP Platform. Với điểm CVSS 9,6, nó cho phép ghi đè lên các tệp hệ thống cốt lõi, kéo theo nguy cơ gián đoạn toàn diện và hỏng dữ liệu.
Cuối cùng là CVE-2025-42958, một lỗ hổng Missing Authentication check trong SAP NetWeaver. Dù đòi hỏi kẻ tấn công có đặc quyền cao, nhưng khi bị khai thác, cơ chế xác thực sẽ hoàn toàn bị bỏ qua, mở đường cho truy cập trái phép vào các chức năng và dữ liệu nhạy cảm.
Không chỉ nghiêm trọng, mà còn lan rộng
Ngoài 4 lỗ hổng “chí mạng”, SAP còn xử lý nhiều vấn đề ưu tiên cao khác:- CVE-2025-42933 (CVSS 8,8): Lưu trữ thông tin nhạy cảm không an toàn trong SAP Business One (SLD), tiềm ẩn nguy cơ rò rỉ dữ liệu
- CVE-2025-42929 (CVSS 8,1): Thiếu kiểm tra đầu vào trong SAP Landscape Transformation Replication Server, dễ bị thao túng dữ liệu
- CVE-2025-42916 (CVSS 8,1): Lỗi kiểm tra đầu vào trong SAP S/4HANA, tạo cơ hội cho kẻ tấn công khai thác.
- CVE-2025-27428 (CVSS 7,7): Lỗ hổng Directory Traversal trong SAP NetWeaver và ABAP Platform, có thể bị lợi dụng để truy cập trái phép
Điểm chung của loạt lỗ hổng lần này là tác động trực tiếp đến tính bảo mật và toàn vẹn của SAP. Nếu bị khai thác, hệ quả không chỉ dừng ở việc rò rỉ hay hỏng dữ liệu, mà còn có thể làm tê liệt toàn bộ chuỗi vận hành doanh nghiệp.
SAP khuyến nghị quản trị viên cần:
- Ưu tiên xử lý ngay các lỗ hổng nghiêm trọng, đặc biệt là CVE-2025-42944 với CVSS 10,0
- Rà soát toàn diện hệ thống, triển khai các bản vá còn lại theo thứ tự ưu tiên
- Theo dõi chặt chẽ khuyến nghị từ SAP, tránh để các lỗ hổng cũ quay lại thành mối đe dọa.
Theo Cyber Security News