-
09/04/2020
-
141
-
1.925 bài viết
SAP vá lỗ hổng SQL Injection nghiêm trọng trong hệ thống SAP S/4HANA
SAP vừa phát hành bản cập nhật bảo mật tháng 5/2026 nhằm khắc phục 15 lỗ hổng an ninh mạng ảnh hưởng đến nhiều sản phẩm doanh nghiệp quan trọng trong hệ sinh thái của hãng. Đáng chú ý, hai lỗ hổng được đánh giá ở mức nghiêm trọng với điểm CVSS lên tới 9,6/10 có thể cho phép tin tặc truy cập trái phép vào dữ liệu nhạy cảm, thực thi truy vấn cơ sở dữ liệu và chiếm quyền kiểm soát các hệ thống kinh doanh quan trọng.
Trong bối cảnh SAP đang được hàng nghìn doanh nghiệp trên toàn cầu sử dụng để quản lý tài chính, nhân sự, chuỗi cung ứng và thương mại điện tử, các lỗ hổng này được giới chuyên gia đánh giá là có mức độ rủi ro cao và cần được xử lý khẩn cấp nhằm tránh nguy cơ rò rỉ dữ liệu hoặc gián đoạn hoạt động kinh doanh.
SAP phát hiện và vá những lỗ hổng nào?
Theo thông báo bảo mật tháng 5/2026, SAP đã phát hành 15 bản vá cho nhiều sản phẩm khác nhau, bao gồm SAP S/4HANA, SAP Commerce Cloud, SAP NetWeaver, SAP BusinessObjects, SAPUI5 và nhiều nền tảng doanh nghiệp khác.
Nghiêm trọng nhất là lỗ hổng SQL Injection CVE-2026-34260 tồn tại trong thành phần Enterprise Search for ABAP của SAP S/4HANA. Lỗ hổng này được chấm 9,6 điểm CVSS, gần đạt mức tối đa về độ nghiêm trọng.
Lỗi thứ hai là CVE-2026-34263, cũng đạt 9,6 điểm CVSS, ảnh hưởng đến cấu hình của SAP Commerce Cloud. Đây là lỗ hổng thiếu cơ chế xác thực (Missing Authentication Check), cho phép kẻ tấn công vượt qua các lớp bảo vệ và truy cập trái phép vào hệ thống.
Ngoài hai lỗ hổng nghiêm trọng nói trên, SAP còn vá hàng loạt lỗi khác như:
Nghiêm trọng nhất là lỗ hổng SQL Injection CVE-2026-34260 tồn tại trong thành phần Enterprise Search for ABAP của SAP S/4HANA. Lỗ hổng này được chấm 9,6 điểm CVSS, gần đạt mức tối đa về độ nghiêm trọng.
Lỗi thứ hai là CVE-2026-34263, cũng đạt 9,6 điểm CVSS, ảnh hưởng đến cấu hình của SAP Commerce Cloud. Đây là lỗ hổng thiếu cơ chế xác thực (Missing Authentication Check), cho phép kẻ tấn công vượt qua các lớp bảo vệ và truy cập trái phép vào hệ thống.
Ngoài hai lỗ hổng nghiêm trọng nói trên, SAP còn vá hàng loạt lỗi khác như:
- CVE-2026-34259: OS Command Injection trong SAP Forecasting & Replenishment (CVSS 8,2)
- CVE-2026-40135: OS Command Injection trong SAP NetWeaver AS ABAP (CVSS 6,5)
- CVE-2026-40133: Missing Authorization Check trong SAP S/4HANA (CVSS 6,3)
- Nhiều lỗ hổng XSS, CSRF, DoS và kiểm tra phân quyền không đầy đủ trên các sản phẩm SAP khác
Mặc dù không phải tất cả đều đạt mức nghiêm trọng, nhưng khi bị kết hợp trong một chuỗi tấn công, chúng có thể giúp tin tặc xâm nhập sâu hơn vào hệ thống doanh nghiệp.
SQL Injection là một trong những hình thức tấn công lâu đời nhưng vẫn cực kỳ nguy hiểm. Kẻ tấn công lợi dụng việc ứng dụng xử lý dữ liệu đầu vào không an toàn để chèn các câu lệnh SQL độc hại vào cơ sở dữ liệu. Trong trường hợp của CVE-2026-34260, nếu khai thác thành công, tin tặc có thể:
SQL Injection là một trong những hình thức tấn công lâu đời nhưng vẫn cực kỳ nguy hiểm. Kẻ tấn công lợi dụng việc ứng dụng xử lý dữ liệu đầu vào không an toàn để chèn các câu lệnh SQL độc hại vào cơ sở dữ liệu. Trong trường hợp của CVE-2026-34260, nếu khai thác thành công, tin tặc có thể:
- Đọc dữ liệu nhạy cảm từ cơ sở dữ liệu
- Thay đổi hoặc xóa dữ liệu kinh doanh
- Trích xuất thông tin khách hàng
- Truy cập hồ sơ tài chính hoặc nhân sự
- Thực hiện các thao tác ngoài ý muốn trên hệ thống
Điểm đáng lo ngại là việc khai thác không yêu cầu quyền mạng đặc biệt ở mức cao, làm tăng khả năng bị lợi dụng trong các cuộc tấn công thực tế. Đối với các doanh nghiệp sử dụng SAP làm hệ thống lõi để quản lý hoạt động sản xuất, kinh doanh hoặc tài chính, hậu quả có thể rất nghiêm trọng nếu dữ liệu bị sửa đổi hoặc đánh cắp.
Lỗ hổng xác thực trong SAP Commerce Cloud có thể dẫn đến chiếm quyền hệ thống
Lỗ hổng CVE-2026-34263 phát sinh do cơ chế kiểm tra xác thực không đầy đủ trong SAP Commerce Cloud. Thông thường, người dùng phải trải qua các bước xác thực trước khi được cấp quyền truy cập vào hệ thống. Tuy nhiên, do lỗi này, tin tặc có thể bỏ qua một số bước xác minh danh tính và truy cập vào các chức năng đáng lẽ phải được bảo vệ.
Nếu bị khai thác thành công, kẻ tấn công có thể:
Nếu bị khai thác thành công, kẻ tấn công có thể:
- Truy cập trái phép vào hệ thống thương mại điện tử
- Đánh cắp dữ liệu khách hàng
- Can thiệp vào hoạt động bán hàng trực tuyến
- Chèn mã độc hoặc cửa hậu vào môi trường vận hành
- Làm bàn đạp cho các cuộc tấn công sâu hơn vào hạ tầng doanh nghiệp
Đây là lý do SAP khuyến nghị các quản trị viên ưu tiên cập nhật bản vá này ngay lập tức.
Các lỗ hổng khác có thể bị kết hợp trong chuỗi tấn công
Ngoài hai lỗi nghiêm trọng nhất, bản cập nhật còn xử lý nhiều lỗ hổng có khả năng hỗ trợ tấn công leo thang đặc quyền hoặc thực thi mã từ xa.
Đáng chú ý là CVE-2026-34259 trong SAP Forecasting & Replenishment cho phép chèn lệnh hệ điều hành (OS Command Injection). Nếu kẻ tấn công đã có quyền truy cập nhất định, chúng có thể thực thi các lệnh nguy hiểm trực tiếp trên máy chủ.
Một số lỗ hổng khác liên quan đến:
Đáng chú ý là CVE-2026-34259 trong SAP Forecasting & Replenishment cho phép chèn lệnh hệ điều hành (OS Command Injection). Nếu kẻ tấn công đã có quyền truy cập nhất định, chúng có thể thực thi các lệnh nguy hiểm trực tiếp trên máy chủ.
Một số lỗ hổng khác liên quan đến:
- Cross-Site Scripting (XSS)
- Cross-Site Request Forgery (CSRF)
- Denial-of-Service (DoS)
- Thiếu kiểm tra phân quyền
- Giả mạo nội dung (Content Spoofing)
- Chèn mã (Code Injection)
Trong thực tế, tin tặc thường không chỉ khai thác một lỗ hổng đơn lẻ mà kết hợp nhiều điểm yếu để tăng khả năng xâm nhập và duy trì quyền truy cập lâu dài.
Mức độ ảnh hưởng và đối tượng có nguy cơ
Các hệ thống SAP hiện được triển khai rộng rãi trong nhiều lĩnh vực trọng yếu của nền kinh tế, từ các doanh nghiệp sản xuất, tập đoàn bán lẻ, công ty logistics cho đến ngân hàng, tổ chức tài chính và các đơn vị cung cấp dịch vụ công. Đây thường là những hệ thống đóng vai trò trung tâm trong việc quản lý dữ liệu khách hàng, tài chính, nhân sự, chuỗi cung ứng và hoạt động kinh doanh hằng ngày. Vì vậy, bất kỳ lỗ hổng bảo mật nghiêm trọng nào xuất hiện trên nền tảng SAP đều có thể tạo ra rủi ro lớn, ảnh hưởng trực tiếp đến hoạt động vận hành của tổ chức cũng như làm gia tăng nguy cơ rò rỉ thông tin nhạy cảm ở quy mô rộng.
Do SAP thường chứa lượng lớn dữ liệu chiến lược của doanh nghiệp, bất kỳ lỗ hổng nghiêm trọng nào xuất hiện trên nền tảng này đều có thể tạo ra nguy cơ rò rỉ thông tin ở quy mô lớn. Nếu bị khai thác, hậu quả có thể bao gồm:
Do SAP thường chứa lượng lớn dữ liệu chiến lược của doanh nghiệp, bất kỳ lỗ hổng nghiêm trọng nào xuất hiện trên nền tảng này đều có thể tạo ra nguy cơ rò rỉ thông tin ở quy mô lớn. Nếu bị khai thác, hậu quả có thể bao gồm:
- Mất dữ liệu kinh doanh quan trọng
- Rò rỉ thông tin khách hàng
- Gián đoạn hoạt động sản xuất và vận hành
- Thiệt hại tài chính
- Tổn thất uy tín thương hiệu
- Vi phạm quy định bảo vệ dữ liệu
Hiện chưa có thông tin công khai cho thấy các lỗ hổng mới được vá đang bị khai thác rộng rãi ngoài thực tế, tuy nhiên giới chuyên gia cảnh báo tin tặc thường phân tích bản vá để nhanh chóng phát triển mã khai thác sau khi thông tin được công bố.
SAP đã phát hành đầy đủ các bản vá bảo mật trong đợt cập nhật tháng 5/2026 thông qua hệ thống hỗ trợ chính thức của hãng. Các tổ chức đang vận hành SAP nên:
SAP đã phát hành đầy đủ các bản vá bảo mật trong đợt cập nhật tháng 5/2026 thông qua hệ thống hỗ trợ chính thức của hãng. Các tổ chức đang vận hành SAP nên:
- Kiểm tra toàn bộ môi trường SAP hiện có
- Xác định các sản phẩm bị ảnh hưởng
- Áp dụng bản vá theo thứ tự ưu tiên
- Kiểm tra các hệ thống kết nối với SAP
- Rà soát nhật ký truy cập bất thường
- Đánh giá nguy cơ từ các tài khoản có quyền cao
- Kiểm tra dấu hiệu truy cập trái phép vào cơ sở dữ liệu
Đối với các tổ chức lớn, việc rà soát toàn bộ chuỗi ứng dụng liên kết với SAP cũng rất quan trọng, bởi tin tặc thường tận dụng các hệ thống kết nối để mở rộng phạm vi tấn công. Các chuyên gia an ninh mạng khuyến nghị doanh nghiệp:
- Triển khai bản vá SAP ngay khi có thể
- Hạn chế truy cập trực tiếp từ Internet tới các máy chủ SAP
- Áp dụng nguyên tắc phân quyền tối thiểu
- Kích hoạt cơ chế giám sát và cảnh báo bất thường
- Thường xuyên kiểm tra nhật ký truy cập cơ sở dữ liệu
- Thực hiện đánh giá bảo mật định kỳ đối với môi trường SAP
- Xây dựng kế hoạch ứng phó sự cố trong trường hợp phát hiện xâm nhập
Đợt cập nhật bảo mật tháng 5/2026 của SAP cho thấy các hệ thống hoạch định nguồn lực doanh nghiệp (ERP) tiếp tục là mục tiêu hấp dẫn của tội phạm mạng. Hai lỗ hổng nghiêm trọng CVE-2026-34260 và CVE-2026-34263 có thể tạo điều kiện cho tin tặc truy cập trái phép, đánh cắp dữ liệu hoặc làm gián đoạn hoạt động kinh doanh nếu không được khắc phục kịp thời.
Dù hiện chưa ghi nhận chiến dịch khai thác diện rộng, việc các lỗ hổng tồn tại trên những nền tảng trọng yếu như SAP S/4HANA và SAP Commerce Cloud khiến rủi ro đối với doanh nghiệp là rất đáng lưu tâm. Các tổ chức sử dụng SAP nên coi việc cập nhật bản vá lần này là ưu tiên hàng đầu nhằm bảo vệ dữ liệu, duy trì hoạt động liên tục và giảm thiểu nguy cơ trở thành nạn nhân của các cuộc tấn công mạng trong tương lai.
Dù hiện chưa ghi nhận chiến dịch khai thác diện rộng, việc các lỗ hổng tồn tại trên những nền tảng trọng yếu như SAP S/4HANA và SAP Commerce Cloud khiến rủi ro đối với doanh nghiệp là rất đáng lưu tâm. Các tổ chức sử dụng SAP nên coi việc cập nhật bản vá lần này là ưu tiên hàng đầu nhằm bảo vệ dữ liệu, duy trì hoạt động liên tục và giảm thiểu nguy cơ trở thành nạn nhân của các cuộc tấn công mạng trong tương lai.