-
09/04/2020
-
116
-
1.182 bài viết
SAP vá lỗ hổng 10 điểm trong NetWeaver, ngăn nguy cơ chiếm quyền hệ thống từ xa
SAP vừa công bố bản vá bảo mật tháng 10/2025, khắc phục tổng cộng 13 lỗ hổng mới và 3 bản cập nhật trong nhiều sản phẩm doanh nghiệp của hãng. Tâm điểm của đợt vá này là lỗ hổng nghiêm trọng CVE-2025-42944 trong nền tảng SAP NetWeaver AS Java, được đánh giá điểm tuyệt đối 10,0, cho phép thực thi mã từ xa mà không cần xác thực. Đây được xem là một trong những lỗi nguy hiểm nhất từng được phát hiện trong hệ sinh thái SAP năm nay.
Theo mô tả kỹ thuật, CVE-2025-42944 xuất phát từ cơ chế xử lý dữ liệu không an toàn trong mô-đun RMI-P4 của NetWeaver AS Java phiên bản SERVERCORE 7.50. Thành phần này có nhiệm vụ xử lý các đối tượng Java được truyền qua mạng, nhưng lại không kiểm soát đúng cách dữ liệu đầu vào. Kẻ tấn công có thể gửi một gói tin chứa đối tượng độc hại đến cổng RMI đang mở, buộc máy chủ giải tuần tự và thực thi mã tùy ý trên hệ điều hành. SAP cảnh báo rằng việc khai thác thành công có thể dẫn tới chiếm quyền điều khiển hoàn toàn hệ thống, ảnh hưởng nghiêm trọng đến tính bảo mật, toàn vẹn và khả năng hoạt động của ứng dụng.
Điểm đặc biệt nguy hiểm của lỗ hổng này là không yêu cầu đăng nhập hay tương tác từ người dùng, khiến nó có khả năng tự lây lan giữa các hệ thống. Các chuyên gia đánh giá rằng chỉ cần một máy chủ NetWeaver AS Java chưa được vá lộ ra Internet, kẻ tấn công có thể dễ dàng xâm nhập và cài đặt mã độc từ xa. SAP khuyến nghị các tổ chức triển khai bản vá ngay lập tức; trong trường hợp chưa thể, cần khẩn cấp giới hạn quyền truy cập đến các cổng RMI-P4 như biện pháp tạm thời.
Cùng đợt vá, SAP cũng xử lý lỗ hổng nghiêm trọng khác mang mã CVE-2025-42937 trong dịch vụ in SAPSprint, được chấm điểm 9,8. Lỗi này liên quan đến lỗ hổng vượt quyền truy cập thư mục, cho phép kẻ tấn công chưa xác thực ghi đè các tệp hệ thống bằng cách gửi đường dẫn được thiết kế để thoát khỏi thư mục giới hạn. Một khi bị khai thác, lỗ hổng có thể gây hư hại nghiêm trọng đến toàn bộ hệ thống in và dịch vụ nền tảng, đe dọa trực tiếp đến an toàn và ổn định của máy chủ.
Bản vá tháng 10 còn khắc phục thêm CVE-2025-42910, lỗi tải tệp không giới hạn trong hệ thống quản lý quan hệ nhà cung cấp SAP SRM. Do thiếu cơ chế kiểm tra định dạng và nội dung tệp, kẻ tấn công có thể tải lên các tệp độc hại, bao gồm cả tệp thực thi, từ đó mở đường cho việc phát tán mã độc hoặc chiếm quyền điều khiển ứng dụng. Lỗ hổng này ảnh hưởng đến các phiên bản SRMNXP01 100 và 150, gây rủi ro đặc biệt lớn cho các hệ thống SRM đang đảm nhiệm hoạt động mua sắm và quản lý chuỗi cung ứng trong doanh nghiệp.
Ngoài ba lỗi nghiêm trọng, bản cập nhật tháng này còn khắc phục nhiều lỗ hổng ở mức cao, bao gồm một lỗi từ chối dịch vụ trong SAP Commerce Cloud với điểm 7,5 và một lỗi cấu hình bảo mật sai trong bộ công cụ tích hợp dữ liệu SAP Data Hub với điểm 7,1. Các lỗi này có thể khiến dịch vụ bị gián đoạn hoặc bị khai thác để mở rộng phạm vi tấn công trong môi trường tích hợp dữ liệu doanh nghiệp.
Những lỗi ở mức trung bình và thấp được SAP công bố cùng đợt chủ yếu liên quan đến rò rỉ thông tin, chèn mã, tấn công CSRF và sai sót kiểm tra phân quyền trong các nền tảng như NetWeaver, S/4HANA và BusinessObjects. Một số bản vá cũng cập nhật cho các lỗ hổng từng được công bố trước đó trong năm như lỗi rò rỉ thông tin trong NetWeaver AS ABAP và lỗi bỏ qua kiểm tra quyền trong NetWeaver.
SAP khuyến cáo người dùng và doanh nghiệp nhanh chóng triển khai bản vá để tránh nguy cơ bị khai thác.
Theo mô tả kỹ thuật, CVE-2025-42944 xuất phát từ cơ chế xử lý dữ liệu không an toàn trong mô-đun RMI-P4 của NetWeaver AS Java phiên bản SERVERCORE 7.50. Thành phần này có nhiệm vụ xử lý các đối tượng Java được truyền qua mạng, nhưng lại không kiểm soát đúng cách dữ liệu đầu vào. Kẻ tấn công có thể gửi một gói tin chứa đối tượng độc hại đến cổng RMI đang mở, buộc máy chủ giải tuần tự và thực thi mã tùy ý trên hệ điều hành. SAP cảnh báo rằng việc khai thác thành công có thể dẫn tới chiếm quyền điều khiển hoàn toàn hệ thống, ảnh hưởng nghiêm trọng đến tính bảo mật, toàn vẹn và khả năng hoạt động của ứng dụng.
Điểm đặc biệt nguy hiểm của lỗ hổng này là không yêu cầu đăng nhập hay tương tác từ người dùng, khiến nó có khả năng tự lây lan giữa các hệ thống. Các chuyên gia đánh giá rằng chỉ cần một máy chủ NetWeaver AS Java chưa được vá lộ ra Internet, kẻ tấn công có thể dễ dàng xâm nhập và cài đặt mã độc từ xa. SAP khuyến nghị các tổ chức triển khai bản vá ngay lập tức; trong trường hợp chưa thể, cần khẩn cấp giới hạn quyền truy cập đến các cổng RMI-P4 như biện pháp tạm thời.
Cùng đợt vá, SAP cũng xử lý lỗ hổng nghiêm trọng khác mang mã CVE-2025-42937 trong dịch vụ in SAPSprint, được chấm điểm 9,8. Lỗi này liên quan đến lỗ hổng vượt quyền truy cập thư mục, cho phép kẻ tấn công chưa xác thực ghi đè các tệp hệ thống bằng cách gửi đường dẫn được thiết kế để thoát khỏi thư mục giới hạn. Một khi bị khai thác, lỗ hổng có thể gây hư hại nghiêm trọng đến toàn bộ hệ thống in và dịch vụ nền tảng, đe dọa trực tiếp đến an toàn và ổn định của máy chủ.
Bản vá tháng 10 còn khắc phục thêm CVE-2025-42910, lỗi tải tệp không giới hạn trong hệ thống quản lý quan hệ nhà cung cấp SAP SRM. Do thiếu cơ chế kiểm tra định dạng và nội dung tệp, kẻ tấn công có thể tải lên các tệp độc hại, bao gồm cả tệp thực thi, từ đó mở đường cho việc phát tán mã độc hoặc chiếm quyền điều khiển ứng dụng. Lỗ hổng này ảnh hưởng đến các phiên bản SRMNXP01 100 và 150, gây rủi ro đặc biệt lớn cho các hệ thống SRM đang đảm nhiệm hoạt động mua sắm và quản lý chuỗi cung ứng trong doanh nghiệp.
Ngoài ba lỗi nghiêm trọng, bản cập nhật tháng này còn khắc phục nhiều lỗ hổng ở mức cao, bao gồm một lỗi từ chối dịch vụ trong SAP Commerce Cloud với điểm 7,5 và một lỗi cấu hình bảo mật sai trong bộ công cụ tích hợp dữ liệu SAP Data Hub với điểm 7,1. Các lỗi này có thể khiến dịch vụ bị gián đoạn hoặc bị khai thác để mở rộng phạm vi tấn công trong môi trường tích hợp dữ liệu doanh nghiệp.
Những lỗi ở mức trung bình và thấp được SAP công bố cùng đợt chủ yếu liên quan đến rò rỉ thông tin, chèn mã, tấn công CSRF và sai sót kiểm tra phân quyền trong các nền tảng như NetWeaver, S/4HANA và BusinessObjects. Một số bản vá cũng cập nhật cho các lỗ hổng từng được công bố trước đó trong năm như lỗi rò rỉ thông tin trong NetWeaver AS ABAP và lỗi bỏ qua kiểm tra quyền trong NetWeaver.
SAP khuyến cáo người dùng và doanh nghiệp nhanh chóng triển khai bản vá để tránh nguy cơ bị khai thác.
Theo Security Online