-
09/04/2020
-
110
-
1.057 bài viết
PoC của lỗ hổng NetWeaver SAP bị công khai, mở cửa cho tin tặc chiếm quyền
Một đoạn mã khai thác nhắm vào các lỗ hổng nghiêm trọng trong SAP NetWeaver Visual Composer vừa bị nhóm tội phạm mạng “Scattered LAPSUS$ Hunters – ShinyHunters” công khai trên các kênh Telegram. Ngay sau đó, VX Underground tiếp tục phát tán trên mạng xã hội X. Hai lỗ hổng được khai thác, gồm CVE-2025-31324 và CVE-2025-42999, đều có điểm CVSS 10.0, cho phép kẻ tấn công chưa xác thực chiếm quyền kiểm soát toàn bộ hệ thống và thực thi mã từ xa.
Cả hai lỗ hổng này có cơ chế khai thác bổ trợ cho nhau. CVE-2025-31324 là lỗi vượt qua xác thực, cho phép kẻ tấn công chưa đăng nhập truy cập trực tiếp vào các chức năng quan trọng của SAP NetWeaver. Tiếp đó, CVE-2025-42999 khai thác cơ chế deserialization không an toàn trong Visual Composer để thực thi mã tùy ý trên hệ điều hành với đặc quyền SAP administrator. Sự kết hợp của chúng tạo thành chuỗi tấn công hoàn chỉnh, giúp tin tặc chiếm quyền kiểm soát toàn bộ hệ thống mà không cần bất kỳ thông tin xác thực nào.
Các chuyên gia bảo mật cảnh báo rằng việc công khai mã khai thác làm gia tăng đáng kể mức độ rủi ro đối với những tổ chức chưa vá hệ thống SAP. Chuỗi tấn công này thể hiện mức độ tinh vi cao, với khả năng triển khai tự động theo từng phiên bản NetWeaver, khiến phạm vi ảnh hưởng càng trở nên nghiêm trọng.
Theo Onapsis, điểm nguy hiểm không chỉ nằm ở từng lỗ hổng riêng lẻ mà ở sự kết hợp của chúng. Khi lỗi vượt qua xác thực được dùng làm bàn đạp cho lỗ hổng deserialization, tin tặc có thể dễ dàng thực thi lệnh hệ điều hành với đặc quyền SAP administrator. Cách tiếp cận này cho phép bỏ qua các lớp bảo vệ thông thường và mở đường cho việc chiếm toàn quyền kiểm soát dữ liệu cũng như quy trình kinh doanh nhạy cảm.
Kỹ thuật khai thác chuỗi lỗ hổng SAP mới được công bố không chỉ đơn thuần là một đoạn PoC, mà là minh chứng cho sự am hiểu sâu sắc của kẻ tấn công đối với kiến trúc phức tạp của SAP NetWeaver. Bằng cách tận dụng các lớp com.sap.sdo.api.* và com.sap.sdo.impl.* trong hạ tầng Visual Composer, mã khai thác đã xây dựng payload có khả năng tùy biến theo từng phiên bản, đảm bảo tính hiệu quả và ổn định trên nhiều môi trường triển khai khác nhau. Đây là đặc điểm thường thấy trong các chiến dịch APT quy mô lớn, nơi kẻ tấn công dành nhiều tháng để phân tích hệ thống mục tiêu trước khi tung ra khai thác tự động hóa.
Điểm đáng chú ý là mã công khai không chỉ khai thác hai lỗ hổng CVE-2025-31324 và CVE-2025-42999, mà còn tái sử dụng các deserialization gadget – một kỹ thuật có thể mở rộng phạm vi tấn công vượt xa lỗ hổng gốc. Các chuyên gia cảnh báo rằng cùng một gadget này có khả năng kích hoạt lại hoặc tái tận dụng đối với những lỗi deserialization từng được vá gần đây, chẳng hạn như CVE-2025-30012, CVE-2025-42980, CVE-2025-42966, CVE-2025-42963 và CVE-2025-42964. Điều đó đồng nghĩa, thay vì chỉ đối mặt với một chuỗi tấn công cụ thể, các tổ chức vận hành SAP có thể phải chuẩn bị cho nhiều kịch bản leo thang, khi kẻ tấn công có thể kết hợp và tùy biến khai thác dựa trên cùng một nền tảng kỹ thuật.
Mức độ rủi ro không chỉ dừng lại ở việc thực thi lệnh trái phép với quyền SAP administrator, mà còn mở ra nguy cơ tái vũ khí hóa các lỗ hổng cũ, biến những hệ thống tưởng chừng đã được vá thành mục tiêu một lần nữa. Trong bối cảnh SAP là nền tảng cốt lõi cho hoạt động tài chính và vận hành của nhiều doanh nghiệp toàn cầu, việc để lộ một chuỗi khai thác có tính linh hoạt và khả năng mở rộng như vậy khiến bề mặt tấn công gia tăng đáng kể, tạo điều kiện cho tội phạm mạng triển khai chiến dịch quy mô lớn với chi phí thấp và hiệu quả cao.
Để giảm thiểu rủi ro, các tổ chức cần triển khai đồng bộ nhiều biện pháp:
Cả hai lỗ hổng này có cơ chế khai thác bổ trợ cho nhau. CVE-2025-31324 là lỗi vượt qua xác thực, cho phép kẻ tấn công chưa đăng nhập truy cập trực tiếp vào các chức năng quan trọng của SAP NetWeaver. Tiếp đó, CVE-2025-42999 khai thác cơ chế deserialization không an toàn trong Visual Composer để thực thi mã tùy ý trên hệ điều hành với đặc quyền SAP administrator. Sự kết hợp của chúng tạo thành chuỗi tấn công hoàn chỉnh, giúp tin tặc chiếm quyền kiểm soát toàn bộ hệ thống mà không cần bất kỳ thông tin xác thực nào.
Các chuyên gia bảo mật cảnh báo rằng việc công khai mã khai thác làm gia tăng đáng kể mức độ rủi ro đối với những tổ chức chưa vá hệ thống SAP. Chuỗi tấn công này thể hiện mức độ tinh vi cao, với khả năng triển khai tự động theo từng phiên bản NetWeaver, khiến phạm vi ảnh hưởng càng trở nên nghiêm trọng.
Theo Onapsis, điểm nguy hiểm không chỉ nằm ở từng lỗ hổng riêng lẻ mà ở sự kết hợp của chúng. Khi lỗi vượt qua xác thực được dùng làm bàn đạp cho lỗ hổng deserialization, tin tặc có thể dễ dàng thực thi lệnh hệ điều hành với đặc quyền SAP administrator. Cách tiếp cận này cho phép bỏ qua các lớp bảo vệ thông thường và mở đường cho việc chiếm toàn quyền kiểm soát dữ liệu cũng như quy trình kinh doanh nhạy cảm.
Kỹ thuật khai thác chuỗi lỗ hổng SAP mới được công bố không chỉ đơn thuần là một đoạn PoC, mà là minh chứng cho sự am hiểu sâu sắc của kẻ tấn công đối với kiến trúc phức tạp của SAP NetWeaver. Bằng cách tận dụng các lớp com.sap.sdo.api.* và com.sap.sdo.impl.* trong hạ tầng Visual Composer, mã khai thác đã xây dựng payload có khả năng tùy biến theo từng phiên bản, đảm bảo tính hiệu quả và ổn định trên nhiều môi trường triển khai khác nhau. Đây là đặc điểm thường thấy trong các chiến dịch APT quy mô lớn, nơi kẻ tấn công dành nhiều tháng để phân tích hệ thống mục tiêu trước khi tung ra khai thác tự động hóa.
Điểm đáng chú ý là mã công khai không chỉ khai thác hai lỗ hổng CVE-2025-31324 và CVE-2025-42999, mà còn tái sử dụng các deserialization gadget – một kỹ thuật có thể mở rộng phạm vi tấn công vượt xa lỗ hổng gốc. Các chuyên gia cảnh báo rằng cùng một gadget này có khả năng kích hoạt lại hoặc tái tận dụng đối với những lỗi deserialization từng được vá gần đây, chẳng hạn như CVE-2025-30012, CVE-2025-42980, CVE-2025-42966, CVE-2025-42963 và CVE-2025-42964. Điều đó đồng nghĩa, thay vì chỉ đối mặt với một chuỗi tấn công cụ thể, các tổ chức vận hành SAP có thể phải chuẩn bị cho nhiều kịch bản leo thang, khi kẻ tấn công có thể kết hợp và tùy biến khai thác dựa trên cùng một nền tảng kỹ thuật.
Mức độ rủi ro không chỉ dừng lại ở việc thực thi lệnh trái phép với quyền SAP administrator, mà còn mở ra nguy cơ tái vũ khí hóa các lỗ hổng cũ, biến những hệ thống tưởng chừng đã được vá thành mục tiêu một lần nữa. Trong bối cảnh SAP là nền tảng cốt lõi cho hoạt động tài chính và vận hành của nhiều doanh nghiệp toàn cầu, việc để lộ một chuỗi khai thác có tính linh hoạt và khả năng mở rộng như vậy khiến bề mặt tấn công gia tăng đáng kể, tạo điều kiện cho tội phạm mạng triển khai chiến dịch quy mô lớn với chi phí thấp và hiệu quả cao.
Để giảm thiểu rủi ro, các tổ chức cần triển khai đồng bộ nhiều biện pháp:
- Cập nhật bản vá: khẩn trương áp dụng các bản vá do SAP phát hành nhằm đóng lại lỗ hổng đang bị khai thác
- Rà soát nhật ký hệ thống: kiểm tra log ứng dụng và máy chủ để phát hiện sớm dấu hiệu truy cập hoặc thao tác bất thường
- Tăng cường giám sát mạng: thiết lập hệ thống phát hiện xâm nhập (IDS/IPS) để nhận diện và ngăn chặn chuỗi khai thác trong thời gian thực
- Đánh giá lại quy trình vá lỗi: đảm bảo các bản vá cũ đã được áp dụng đúng cách, hạn chế nguy cơ bị tái khai thác từ những lỗi tưởng chừng đã khắc phục
Tổng hợp