-
09/04/2020
-
122
-
1.401 bài viết
SAP tung bản vá tháng 12/2025 cho 14 lỗ hổng nguy hiểm đe dọa hệ thống doanh nghiệp
SAP vừa công bố bản cập nhật bảo mật tháng 12/2025, chứa 14 security note khắc phục nhiều lỗ hổng xuất hiện trên các thành phần cốt lõi của hệ sinh thái SAP. Một số lỗi ở mức “Critical” với điểm CVSS rất cao có khả năng cho phép thực thi mã từ xa hoặc chèn mã độc ngay cả khi kẻ tấn công chỉ có quyền hạn thấp. Vì SAP là trái tim vận hành của nhiều doanh nghiệp lớn, những bản vá lần này cần được xem là ưu tiên hàng đầu và triển khai một cách có kiểm soát.
Các lỗ hổng được SAP liệt kê trong đợt vá tháng 12 bao gồm nhiều dạng: Code injection, deserialization, memory corruption, missing authorization, denial-of-service, XSS và SSRF. Chúng tồn tại ở các thành phần như SAP Solution Manager, SAP Commerce Cloud (Apache Tomcat), SAP jConnect SDK cho ASE, SAP Web Dispatcher, ICM, NetWeaver, BusinessObjects và S/4HANA. SAP công bố các note này qua kênh chính thức (SAP Support Portal); thông tin chi tiết từng CVE đi kèm hướng dẫn vá. Mức độ quan trọng của đợt vá nằm ở chỗ một số lỗ hổng cho phép kẻ tấn công từ xa thực thi mã hoặc leo thang quyền, điều nguy hiểm với môi trường ERP, nơi lưu trữ dữ liệu tài chính và vận hành.
Để rà soát, tổ chức nên quét nhanh các hệ thống SAP bằng công cụ quản lý lỗ hổng/CMDB để xác định phiên bản bị ảnh hưởng. Kiểm tra các endpoints có Tomcat/Commerce Cloud phơi ra Internet, rà soát cấu hình Solution Manager, kiểm tra bất thường trong jConnect usage logs và rà soát nhật ký Web Dispatcher/ICM. Phát hiện sớm các dấu hiệu khai thác có thể gồm request lạ tới endpoints quản trị, payload có chuỗi tuần tự hóa hoặc hành vi thực thi mã bất ngờ.
Mã lỗ hổng cụ thể và điểm CVSS (bản tóm tắt chính)
Trong các lỗ hổng được công bố, những mục quan trọng nhất gồm:- CVE-2025-42880 (SAP Solution Manager ST 720): Code injection. Critical, CVSS 9,9. Có thể cho phép tài khoản có quyền thấp chèn và thực thi mã, đe dọa tính bí mật, toàn vẹn và sẵn sàng của hệ thống.
- CVE-2025-55754 & CVE-2025-55752 (Apache Tomcat trong SAP Commerce Cloud): Multiple critical issues. Critical, CVSS 9,6. Tấn công từ xa có thể gây rò rỉ dữ liệu hoặc làm gián đoạn dịch vụ thương mại điện tử.
- CVE-2025-42928 (SAP jConnect SDK cho ASE): Deserialization. Critical, CVSS 9,1. Lỗi xử lý đối tượng tuần tự hóa có thể dẫn tới thực thi mã trong môi trường tích hợp.
- Các lỗ hổng High khác: CVE-2025-42878 (Sensitive data exposure, CVSS 8,2); CVE-2025-42877 (Memory corruption, CVSS 7,5); CVE-2025-42874 (DoS, CVSS 7,9), CVE-2025-48976 (DoS, CVSS 7,5), CVE-2025-42876 (Missing authorization, CVSS 7,1).
- Một số lỗi Medium liên quan XSS, SSRF, thiếu kiểm tra xác thực/ủy quyền, vẫn có thể bị chain exploit trong môi trường phức tạp.
Cơ chế lợi dụng lỗ hổng và quá trình khai thác
Cách thức khai thác khác nhau theo loại lỗi. Với code injection và deserialization, kẻ tấn công thường gửi payload độc hại được thiết kế để bị thực thi bởi thành phần xử lý (ví dụ gửi request chứa đối tượng tuần tự hóa độc hại đến jConnect hoặc gửi dữ liệu khiến SolMan thực thi lệnh). Với các lỗi Tomcat, kẻ tấn công có thể gây thực thi mã hoặc truy xuất file nếu Tomcat được phơi ra Internet. Các lỗi memory corruption có thể dẫn tới thực thi mã tùy ý nếu được kích hoạt dưới điều kiện thích hợp. Những lỗi missing authorization/missing authentication là biến thể “logic” cho phép kẻ xấu truy cập chức năng không được phép. Tất cả các dạng này đều có thể được đưa vào chuỗi tấn công phức tạp: Tấn công từ xa → leo thang quyền → di chuyển ngang → thao tác dữ liệu/triển khai mã độc.Rủi ro khi lỗ hổng bị khai thác
Nếu khai thác thành công, hậu quả có thể bao gồm từ gián đoạn dịch vụ thương mại điện tử, rò rỉ thông tin khách hàng và tài chính, tới mất quyền quản trị toàn hệ thống SAP. Một SolMan bị xâm nhập có thể làm tê liệt khả năng quản trị toàn bộ landscape SAP; Các lỗ hổng ở Tomcat/Commerce Cloud có thể gây gián đoạn dịch vụ bán hàng trực tuyến; Deserialization trong jConnect có thể làm bể lỗ hổng ở lớp tích hợp dữ liệu. Trong môi trường tích hợp sâu như ERP, một lỗi nhỏ có thể dẫn tới thiệt hại dây chuyền lớn về tài chính và uy tín.Hậu quả cụ thể doanh nghiệp phải gánh chịu
Hậu quả thực tế gồm mất dữ liệu nhạy cảm, gián đoạn vận hành (đơn hàng không xử lý, kế toán tê liệt), chi phí khắc phục khẩn cấp, phạt tuân thủ, mất niềm tin khách hàng và rơi vào chu trình phục hồi kéo dài. Với điểm CVSS cao ở một số CVE, khả năng tấn công có tính tự động hóa (bot scan + exploit) khiến các hệ thống chưa vá có thể bị xâm phạm hàng loạt trong thời gian ngắn.Đã có bản vá chưa và cách rà soát, phát hiện lỗ hổng này
SAP đã phát hành security notes tương ứng trong đợt vá tháng 12/2025. Các tổ chức cần truy cập SAP Support Portal, đọc kỹ từng note để biết phiên bản, patch level và bước vá. Trước khi đưa vào production, các thay đổi cần được thử nghiệm trên môi trường test.Để rà soát, tổ chức nên quét nhanh các hệ thống SAP bằng công cụ quản lý lỗ hổng/CMDB để xác định phiên bản bị ảnh hưởng. Kiểm tra các endpoints có Tomcat/Commerce Cloud phơi ra Internet, rà soát cấu hình Solution Manager, kiểm tra bất thường trong jConnect usage logs và rà soát nhật ký Web Dispatcher/ICM. Phát hiện sớm các dấu hiệu khai thác có thể gồm request lạ tới endpoints quản trị, payload có chuỗi tuần tự hóa hoặc hành vi thực thi mã bất ngờ.
CVE ID | Product / Component | Vulnerability Type | Priority | CVSS |
| CVE-2025-42880 | SAP Solution Manager (ST 720) | Code Injection | Critical | 9.9 |
| CVE-2025-55754 | SAP Commerce Cloud (HY_COM 2205, COM_CLOUD 2211, 2211-JDK21) | Multiple vulnerabilities in Apache Tomcat | Critical | 9.6 |
| CVE-2025-42928 | SAP jConnect – SDK for ASE (16.0.4, 16.1) | Deserialization vulnerability | Critical | 9.1 |
| CVE-2025-42878 | SAP Web Dispatcher & Internet Communication Manager (ICM) | Sensitive Data Exposure | High | 8.2 |
| CVE-2025-42874 | SAP NetWeaver (remote service for Xcelsius) | Denial of Service (DoS) | High | 7.9 |
| CVE-2025-48976 | SAP Business Objects (ENTERPRISE 430, 2025, 2027) | Denial of Service (DoS) | High | 7.5 |
| CVE-2025-42877 | SAP Web Dispatcher, ICM & SAP Content Server | Memory Corruption | High | 7.5 |
| CVE-2025-42876 | SAP S/4HANA Private Cloud (Financials General Ledger) | Missing Authorization Check | High | 7.1 |
| CVE-2025-42875 | SAP NetWeaver Internet Communication Framework | Missing Authentication Check | Medium | 6.6 |
| CVE-2025-42904 | Application Server ABAP (Kernel) | Information Disclosure | Medium | 6.5 |
| CVE-2025-42872 | SAP NetWeaver Enterprise Portal (EP-RUNTIME 7.50) | Cross-Site Scripting (XSS) | Medium | 6.1 |
| CVE-2025-42873 | SAPUI5 framework (Markdown-it component) | Denial of Service (DoS) | Medium | 5.9 |
| CVE-2025-42891 | SAP Enterprise Search for ABAP | Missing Authorization Check | Medium | 5.5 |
| CVE-2025-42896 | SAP BusinessObjects BI Platform (ENTERPRISE 430, 2025, 2027) | Server-Side Request Forgery (SSRF) | Medium | 5.4 |
Các chuyên gia an ninh mạng khuyến cáo
- Cập nhật ngay các bản vá SAP theo thứ tự ưu tiên: Trước hết vá CVE-2025-42880 (SolMan), CVE-2025-55754/55752 (Tomcat trong Commerce Cloud), CVE-2025-42928 (jConnect).
- Triển khai thử nghiệm trên môi trường staging trước khi roll-out sang production, kiểm tra kịch bản phục hồi nếu có lỗi sau vá.
- Hạn chế phơi bày các dịch vụ web/Tomcat ra Internet, đặt sau WAF hoặc VPN, áp dụng white-list IP (nếu cần)
- Tăng cường kiểm soát truy cập: Bật MFA cho tài khoản quản trị SAP, phân quyền theo nguyên tắc least privilege.
- Rà soát logs và SIEM để phát hiện chỉ dấu tấn công (đầu vào bất thường, payload tuần tự hóa, request POST đến endpoint quản trị).
- Kiểm soát cấu hình Web Dispatcher / ICM: Bảo đảm TLS, header bảo mật, hạn chế debug/trace trên hệ thống production.
- Backup & restore: Đảm bảo có backup offline và kiểm thử khả năng khôi phục trước khi cập nhật.
- Thông báo nội bộ: Cảnh báo các đội Dev/Integrator về CVE deserialization (jConnect) và yêu cầu rà soát mã tùy chỉnh.
- Chuẩn bị kế hoạch ứng phó: Playbook incident response cho trường hợp khai thác thành công (isolate, forensic, restore).
WhiteHat