-
09/04/2020
-
139
-
1.881 bài viết
SAP vá loạt lỗ hổng nghiêm trọng: Nguy cơ rò rỉ dữ liệu doanh nghiệp toàn cầu
Hãng phần mềm doanh nghiệp SAP vừa phát hành bản cập nhật bảo mật tháng 5/2026 nhằm xử lý 15 lỗ hổng nghiêm trọng trong hệ sinh thái phần mềm của mình, trong đó có nhiều lỗi có thể cho phép tin tặc vượt qua xác thực, thực thi lệnh trái phép và truy cập dữ liệu doanh nghiệp nhạy cảm. Đáng chú ý, hai lỗ hổng nguy hiểm nhất đều đạt điểm CVSS 9,6/10.
Giới chuyên gia an ninh mạng cảnh báo các tổ chức đang sử dụng hệ thống SAP cần khẩn trương rà soát và cập nhật bản vá, bởi các nền tảng ERP và quản trị doanh nghiệp luôn là mục tiêu hấp dẫn đối với tin tặc do chứa khối lượng lớn dữ liệu tài chính, nhân sự, khách hàng và vận hành nội bộ.
Hai lỗ hổng nghiêm trọng nhất nằm trong SAP S/4HANA và SAP Commerce Cloud
Trong đợt cập nhật lần này, lỗ hổng được đánh giá nghiêm trọng nhất là CVE-2026-34260, tồn tại trong thành phần Enterprise Search for ABAP của hệ thống SAP S/4HANA. Đây là lỗi SQL Injection với điểm CVSS 9.6, cho phép kẻ tấn công thực thi các truy vấn cơ sở dữ liệu trái phép.
Nếu bị khai thác thành công, tin tặc có thể đọc, chỉnh sửa hoặc xóa dữ liệu doanh nghiệp nhạy cảm mà không cần quyền truy cập mạng cấp cao. Trong môi trường doanh nghiệp lớn, điều này có thể dẫn đến rò rỉ dữ liệu khách hàng, thông tin tài chính hoặc dữ liệu vận hành cốt lõi.
Bên cạnh đó, SAP cũng vá lỗ hổng CVE-2026-34263 trên SAP Commerce Cloud, cũng đạt điểm CVSS 9.6. Đây là lỗi thiếu cơ chế kiểm tra xác thực (Missing Authentication Check), cho phép đối tượng tấn công bỏ qua lớp bảo vệ bảo mật và truy cập trái phép vào hệ thống thương mại điện tử của doanh nghiệp.
Các chuyên gia nhận định đây là loại lỗ hổng đặc biệt nguy hiểm bởi nhiều nền tảng SAP Commerce Cloud thường được kết nối trực tiếp với internet để phục vụ khách hàng, đồng nghĩa với việc bề mặt tấn công rất rộng.
Nếu bị khai thác thành công, tin tặc có thể đọc, chỉnh sửa hoặc xóa dữ liệu doanh nghiệp nhạy cảm mà không cần quyền truy cập mạng cấp cao. Trong môi trường doanh nghiệp lớn, điều này có thể dẫn đến rò rỉ dữ liệu khách hàng, thông tin tài chính hoặc dữ liệu vận hành cốt lõi.
Bên cạnh đó, SAP cũng vá lỗ hổng CVE-2026-34263 trên SAP Commerce Cloud, cũng đạt điểm CVSS 9.6. Đây là lỗi thiếu cơ chế kiểm tra xác thực (Missing Authentication Check), cho phép đối tượng tấn công bỏ qua lớp bảo vệ bảo mật và truy cập trái phép vào hệ thống thương mại điện tử của doanh nghiệp.
Các chuyên gia nhận định đây là loại lỗ hổng đặc biệt nguy hiểm bởi nhiều nền tảng SAP Commerce Cloud thường được kết nối trực tiếp với internet để phục vụ khách hàng, đồng nghĩa với việc bề mặt tấn công rất rộng.
Loạt lỗ hổng khác tiếp tục mở rộng nguy cơ xâm nhập hệ thống
Ngoài hai lỗ hổng mức критical, bản cập nhật tháng 5/2026 còn xử lý hàng loạt lỗi bảo mật khác liên quan đến thực thi lệnh hệ điều hành, kiểm tra phân quyền không đầy đủ, XSS, CSRF và từ chối dịch vụ.
Trong đó đáng chú ý có CVE-2026-34259 trên SAP Forecasting & Replenishment với điểm CVSS 8.2. Đây là lỗi OS Command Injection cho phép kẻ có quyền truy cập thực thi lệnh trực tiếp trên hệ điều hành máy chủ nền.
Một số sản phẩm khác cũng bị ảnh hưởng gồm:
Trong đó đáng chú ý có CVE-2026-34259 trên SAP Forecasting & Replenishment với điểm CVSS 8.2. Đây là lỗi OS Command Injection cho phép kẻ có quyền truy cập thực thi lệnh trực tiếp trên hệ điều hành máy chủ nền.
Một số sản phẩm khác cũng bị ảnh hưởng gồm:
- SAP NetWeaver
- SAP BusinessObjects
- SAPUI5
- SAP Financial Consolidation
Theo các chuyên gia, dù nhiều lỗ hổng chỉ được đánh giá ở mức “medium”, nhưng khi kết hợp theo chuỗi tấn công, chúng vẫn có thể trở thành bàn đạp để tin tặc mở rộng quyền kiểm soát trong hệ thống doanh nghiệp.
Tin tặc có thể khai thác các lỗ hổng này như thế nào?
Các cuộc tấn công vào nền tảng SAP thường không diễn ra theo kiểu “đập cửa trực diện”, mà tận dụng các điểm yếu trong xác thực, phân quyền hoặc xử lý dữ liệu đầu vào để âm thầm xâm nhập hệ thống.
Với lỗ hổng SQL Injection như CVE-2026-34260, kẻ tấn công có thể gửi các truy vấn độc hại thông qua thành phần tìm kiếm của hệ thống ABAP. Nếu cơ chế lọc dữ liệu không đủ an toàn, hệ thống sẽ thực thi trực tiếp câu lệnh SQL do kẻ tấn công chèn vào.
Trong khi đó, lỗi Missing Authentication Check ở SAP Commerce Cloud cho phép bỏ qua bước xác minh danh tính, mở đường cho truy cập trái phép mà không cần tài khoản hợp lệ.
Các chuyên gia cảnh báo rằng nếu kết hợp nhiều lỗ hổng với nhau, tin tặc có thể:
Với lỗ hổng SQL Injection như CVE-2026-34260, kẻ tấn công có thể gửi các truy vấn độc hại thông qua thành phần tìm kiếm của hệ thống ABAP. Nếu cơ chế lọc dữ liệu không đủ an toàn, hệ thống sẽ thực thi trực tiếp câu lệnh SQL do kẻ tấn công chèn vào.
Trong khi đó, lỗi Missing Authentication Check ở SAP Commerce Cloud cho phép bỏ qua bước xác minh danh tính, mở đường cho truy cập trái phép mà không cần tài khoản hợp lệ.
Các chuyên gia cảnh báo rằng nếu kết hợp nhiều lỗ hổng với nhau, tin tặc có thể:
- Đánh cắp dữ liệu khách hàng và tài chính
- Chiếm quyền quản trị hệ thống ERP
- Triển khai mã độc hoặc ransomware
- Làm gián đoạn hoạt động doanh nghiệp
- Mở rộng tấn công sang các hệ thống nội bộ khác
Doanh nghiệp ERP đang là “mục tiêu vàng” của ransomware
Những năm gần đây, các nền tảng SAP liên tục trở thành mục tiêu của các nhóm ransomware do giá trị dữ liệu cực lớn. Một cuộc tấn công thành công vào hệ thống ERP không chỉ gây thiệt hại tài chính mà còn có thể khiến toàn bộ hoạt động vận hành bị tê liệt.
Giới chuyên gia cho rằng mức độ nguy hiểm của các lỗ hổng lần này nằm ở việc chúng ảnh hưởng trực tiếp đến các hệ thống lõi doanh nghiệp – nơi xử lý đơn hàng, kế toán, nhân sự, chuỗi cung ứng và dữ liệu khách hàng.
Nếu bị khai thác trong môi trường sản xuất thực tế, hậu quả có thể lan rộng trên toàn bộ hạ tầng CNTT của doanh nghiệp.
Giới chuyên gia cho rằng mức độ nguy hiểm của các lỗ hổng lần này nằm ở việc chúng ảnh hưởng trực tiếp đến các hệ thống lõi doanh nghiệp – nơi xử lý đơn hàng, kế toán, nhân sự, chuỗi cung ứng và dữ liệu khách hàng.
Nếu bị khai thác trong môi trường sản xuất thực tế, hậu quả có thể lan rộng trên toàn bộ hạ tầng CNTT của doanh nghiệp.
SAP đã phát hành bản vá, doanh nghiệp cần cập nhật khẩn cấp
Theo thông báo từ SAP, các bản vá đã được phát hành thông qua hệ thống SAP Support Portal. Do hiện chưa có biện pháp giảm thiểu hoàn toàn thay thế bản vá, các chuyên gia khuyến nghị doanh nghiệp cần triển khai cập nhật càng sớm càng tốt.
Ngoài cập nhật hệ thống, đội ngũ quản trị cũng cần rà soát nhật ký truy cập, kiểm tra các kết nối bất thường và đánh giá lại mức độ phơi nhiễm của các cổng dịch vụ SAP đang mở ra internet.
Các chuyên gia an ninh mạng khuyến nghị:
Ngoài cập nhật hệ thống, đội ngũ quản trị cũng cần rà soát nhật ký truy cập, kiểm tra các kết nối bất thường và đánh giá lại mức độ phơi nhiễm của các cổng dịch vụ SAP đang mở ra internet.
Các chuyên gia an ninh mạng khuyến nghị:
- Khẩn trương cập nhật toàn bộ bản vá SAP tháng 5/2026
- Kiểm tra các hệ thống SAP đang public internet
- Giới hạn quyền truy cập vào các dịch vụ quản trị
- Theo dõi log để phát hiện truy vấn SQL hoặc lệnh bất thường
- Tăng cường phân tách mạng giữa hệ thống ERP và môi trường người dùng
- Kích hoạt cơ chế xác thực đa lớp cho tài khoản quản trị
- Thường xuyên kiểm tra cấu hình phân quyền trong SAP
Hồi chuông cảnh báo cho an ninh hệ thống doanh nghiệp
Đợt vá lỗi tháng 5/2026 của SAP tiếp tục cho thấy các nền tảng quản trị doanh nghiệp đang trở thành “chiến trường” mới của tội phạm mạng. Khi hệ thống ERP ngày càng đóng vai trò trung tâm trong vận hành doanh nghiệp, bất kỳ lỗ hổng nào xuất hiện trong các thành phần lõi cũng có thể kéo theo nguy cơ rò rỉ dữ liệu, gián đoạn hoạt động và thiệt hại tài chính nghiêm trọng.
Trong bối cảnh các nhóm ransomware và gián điệp mạng ngày càng tập trung vào chuỗi cung ứng doanh nghiệp, việc cập nhật bản vá và giám sát an ninh cho hệ thống SAP không còn là lựa chọn, mà đã trở thành yêu cầu bắt buộc đối với mọi tổ chức sử dụng nền tảng này.
Trong bối cảnh các nhóm ransomware và gián điệp mạng ngày càng tập trung vào chuỗi cung ứng doanh nghiệp, việc cập nhật bản vá và giám sát an ninh cho hệ thống SAP không còn là lựa chọn, mà đã trở thành yêu cầu bắt buộc đối với mọi tổ chức sử dụng nền tảng này.