พบ Exploit code ที่รวมช่องโหว่ด้านความปลอดภัยระดับ Critical สองรายการใน SAP NetWeaver ซึ่งได้รับการแก้ไขไปแล้ว ส่งผลให้องค์กรต่าง ๆ เสี่ยงต่อการถูกโจมตี และขโมยข้อมูล
SAP ระบุว่า การโจมตีนี้เป็นการนำช่องโหว่ CVE-2025-31324 และ CVE-2025-42999 มาใช้ร่วมกัน เพื่อ bypass การยืนยันตัวตน และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล
รายละเอียดของช่องโหว่คือ:
- CVE-2025-31324 (คะแนน CVSS: 10.0) – Missing Authorization Check ในเซิร์ฟเวอร์ Visual Composer ของ SAP NetWeaver
- CVE-2025-42999 (คะแนน CVSS: 9.1) - Insecure Deserialization ในเซิร์ฟเวอร์ Visual Composer Development ของ SAP NetWeaver
ช่องโหว่เหล่านี้ได้รับการแก้ไขไปแล้วจาก SAP ในเดือนเมษายน และพฤษภาคม 2025 แต่แฮ็กเกอร์เริ่มนำมาโจมตีในรูปแบบ Zero-Days ตั้งแต่เดือนมีนาคม
กลุ่มแรนซัมแวร์ และกลุ่มผู้โจมตีหลายกลุ่ม เช่น Qilin, BianLian และ RansomExx ใช้ช่องโหว่เหล่านี้เป็นเครื่องมือในการโจมตี รวมถึงกลุ่มผู้โจมตีที่เกี่ยวข้องกับจีนหลายกลุ่มที่นำช่องโหว่เหล่านี้ไปใช้โจมตีเครือข่ายโครงสร้างพื้นฐานที่สำคัญ
Exploit นี้ถูกรายงานครั้งแรกเมื่อสัปดาห์ที่แล้วโดย vx-underground ซึ่งระบุว่า Exploit นี้ถูกปล่อยออกมาโดย Scattered Lapsus$ Hunters ซึ่งเป็นกลุ่มพันธมิตรใหม่ที่จัดตั้งขึ้นโดย Scattered Spider และ ShinyHunters
Onapsis ระบุว่า "Exploit นี้ทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถเรียกใช้คำสั่งบนระบบ SAP เป้าหมาย รวมถึงการอัปโหลดไฟล์โดยไม่ได้รับอนุญาต ซึ่งอาจนำไปสู่การรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) และเข้าควบคุมระบบ SAP และข้อมูลทางธุรกิจได้อย่างสมบูรณ์"
นอกจากนี้ Onapsis ยังเตือนว่า Exploit code นี้ไม่เพียงแต่ใช้ในการติดตั้ง web shell เท่านั้น แต่ยังสามารถถูกใช้เพื่อโจมตีแบบ Living-off-the-Land (LotL) โดยรันคำสั่งของระบบปฏิบัติการโดยตรง โดยไม่ต้องดาวน์โหลดไฟล์มัลแวร์เพิ่มเติม ซึ่งคำสั่งเหล่านี้จะถูกรันด้วยสิทธิ์ระดับผู้ดูแลระบบ SAP ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูล และทรัพยากรของระบบได้โดยไม่ได้รับอนุญาต
โดยเฉพาะอย่างยิ่ง การโจมตีจะใช้ช่องโหว่จาก CVE-2025-31324 เพื่อ Bypass การยืนยันตัวตน และอัปโหลดเพย์โหลดที่เป็นอันตรายไปยังเซิร์ฟเวอร์ จากนั้นช่องโหว่ CVE-2025-42999 จะถูกนำไปใช้เพื่อ unpack เพย์โหลด และรันด้วยสิทธิ์ระดับสูง
Onapsis เตือนว่า "การเปิดเผยเครื่องมือการโจมตีนี้น่ากังวลเป็นพิเศษ เนื่องจากสามารถนำไปใช้ซ้ำในบริบทอื่น ๆ ได้ เช่น ใช้ในการโจมตีช่องโหว่เกี่ยวกับการแปลงข้อมูลที่ SAP เพิ่งแพตช์ไปเมื่อเดือนกรกฎาคม"
ช่องโหว่เพิ่มเติมที่เกี่ยวข้อง ได้แก่:
CVE-2025-30012 (คะแนน CVSS: 10.0)
CVE-2025-42963 (คะแนน CVSS: 9.1)
CVE-2025-42964 (คะแนน CVSS: 9.1)
CVE-2025-42966 (คะแนน CVSS: 9.1)
CVE-2025-42980 (คะแนน CVSS: 9.1)
Onapsis ระบุว่า ผู้โจมตีมีความรู้เกี่ยวกับแอปพลิเคชัน SAP เป็นอย่างดี แนะนำให้ผู้ใช้ SAP รีบดำเนินการแก้ไขช่องโหว่โดยด่วน ดังนี้
- ติดตั้งแพตช์ล่าสุดจาก SAP
- ตรวจสอบ และจำกัดการเข้าถึงระบบ SAP จากเครือข่ายอินเทอร์เน็ต
- เฝ้าระวัง และตรวจสอบระบบ SAP อย่างใกล้ชิด เพื่อหาสัญญาณการถูกบุกรุก
ที่มา : thehackernews
You must be logged in to post a comment.