Chào mọi người, SAP S/4HANA là một trong những nền tảng quản trị nguồn lực doanh nghiệp (ERP) phổ biến nhất hiện nay, được sử dụng rộng rãi bởi các tập đoàn lớn và doanh nghiệp trên toàn thế giới. Tuy nhiên, mới đây một lỗ hổng nghiêm trọng (CVE-2025-42957) đã được phát hiện và bị khai thác ngoài thực tế, đe dọa an toàn của toàn bộ hệ thống SAP.

Tổng quan về lỗ hổng

• Lỗ hổng thuộc loại Command Injection (chèn lệnh) nằm trong chức năng Remote Function Call (RFC) – giao thức dùng để các module SAP giao tiếp với nhau.
• Kẻ tấn công có thể chèn mã ABAP (ngôn ngữ lập trình SAP) tùy ý thông qua RFC và thực thi như có quyền cao nhất trên hệ thống.
• Điều đáng sợ nhất là hacker không cần tài khoản quản trị cao cấp mà chỉ cần một user thường (low-privileged user) là có thể khai thác.

Những nguy cơ đi kèm

• Thực thi mã ABAP độc hại, tạo tài khoản admin với quyền rộng nhất (SAP_ALL).
• Lấy mã hash mật khẩu, thay đổi quy trình nghiệp vụ, thao túng dữ liệu tài chính hay lộ thông tin chiến lược quan trọng.
• Cài đặt backdoor, ransomware, mở rộng tấn công sâu vào các hệ thống nội bộ khác.
• Ảnh hưởng đến cả triển khai SAP tại chỗ (On-premise) và phiên bản Đám mây Riêng (Private Cloud).

Tình hình khai thác và cảnh báo

• Lỗ hổng đã được vá trong bản cập nhật tháng 8/2025 của SAP nhưng ngay sau đó, nhóm nghiên cứu SecurityBridge Threat Research Labs ghi nhận hoạt động khai thác thực tế.
• Tin tặc có thể tận dụng “dịch ngược” bản vá để phát triển mã khai thác tự động, khiến nguy cơ ngày càng gia tăng.

Đây là một bài viết "có video" về CVE-2025-42957: https://securitybridge.com/blog/crit...vulnerability/

Biện pháp phòng ngừa khẩn cấp

• Cập nhật vá lỗi ngay lập tức theo bản vá mới nhất của SAP tháng 8/2025.
• Giám sát hệ thống chặt chẽ, chú ý:
  • Các cuộc gọi RFC bất thường, đặc biệt từ user ít quyền.
  • Việc tạo tài khoản admin mới.
• Triển khai SAP UCON để giới hạn kết nối RFC không cần thiết và rà soát phân quyền đối tượng S_DMIS (activity 02).
• Tách hệ thống SAP khỏi Internet nếu không cần truy cập từ xa.
• Sao lưu dữ liệu định kỳ và lưu trữ bản sao lưu an toàn, tốt nhất là lưu offline.
• Đào tạo đội ngũ vận hành hiểu rõ rủi ro và dấu hiệu hệ thống bị tấn công.

Bài học quan trọng

• Lỗ hổng không đơn thuần là lỗi phần mềm mà còn là hậu quả của sai sót trong vận hành, như cấu hình sai lệch, không cập nhật bản vá, không kiểm soát kỹ các tài khoản người dùng.
• “Người dùng thường” cũng có thể là lỗ hổng an ninh khi không được giám sát và quản lý đúng cách.
• SAP không là hệ thống độc lập, nếu bị xâm nhập sẽ dẫn đến nguy cơ lan rộng tấn công vào các tài sản số quan trọng khác của doanh nghiệp.

Kết

Lỗ hổng CVE-2025-42957 nhắc nhở doanh nghiệp rằng bảo mật ERP không phải chuyện “cài đặt một lần rồi thôi”. Nó đòi hỏi quản trị chặt chẽ, cập nhật thường xuyên và có chiến lược giám sát liên tục, đặc biệt với những tài khoản có quyền hạn thấp nhưng tiềm ẩn nguy cơ rất lớn.
Mọi người đã cập nhật hệ thống SAP của mình chưa? Hãy chia sẻ và cùng nhau nâng cao nhận thức để bảo vệ hiệu quả tài sản số doanh nghiệp nhé!
​