SAP ได้แก้ไขช่องโหว่ใหม่ 21 รายการที่ส่งผลกระทบต่อผลิตภัณฑ์ของบริษัท รวมถึงช่องโหว่ที่มีความรุนแรงระดับ Critical จำนวน 3 รายการ ที่ส่งผลกระทบต่อซอฟต์แวร์ SAP NetWeaver
SAP NetWeaver เป็นรากฐานของแอปพลิเคชันทางธุรกิจของ SAP เช่น ERP, CRM, SRM และ SCM โดยทำหน้าที่เป็น modular middleware ที่ถูกใช้งานอย่างกว้างขวางในเครือข่ายองค์กรขนาดใหญ่
ในประกาศด้านความปลอดภัยประจำเดือนกันยายน 2025 SAP ได้ lists ช่องโหว่ CVE-2025-42944 เป็นช่องโหว่ที่มีระดับความรุนแรงสูงสุดเต็ม 10
ช่องโหว่นี้เป็นช่องโหว่ Insecure Deserialization ใน SAP NetWeaver (RMIP4) และ ServerCore 7.50
โดยผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตนสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อรันคำสั่งบนระบบปฏิบัติการได้ตามต้องการ โดยการส่ง Java object ที่เป็นอันตรายไปยังพอร์ตที่เปิดอยู่ผ่านโมดูล RMI-P4
RMI-P4 เป็นโปรโตคอล Remote Method Invocation ที่ใช้โดย SAP NetWeaver AS Java สำหรับการ communication ภายในระบบ SAP-to-SAP หรือเพื่อสำหรับจัดการระบบ
แม้ว่าพอร์ต P4 จะเปิดใช้งานอยู่บนโฮสต์ แต่บางองค์กรอาจเปิดพอร์ตนี้ออกสู่เครือข่ายภายนอก หรืออินเทอร์เน็ตโดยไม่ได้ตั้งใจ เนื่องจากการตั้งค่าไฟร์วอลล์ หรือการกำหนดค่าระบบที่ผิดพลาด
ตามประกาศด้านความปลอดภัย ช่องโหว่ร้ายแรงอันดับสองที่ SAP แก้ไขในเดือนนี้คือ CVE-2025-42922 (คะแนน CVSS v3.1: 9.9) เป็นช่องโหว่ Insecure File Operations ที่ส่งผลกระทบต่อ NetWeaver AS Java (Deploy Web Service) และ J2EE-APPS 7.50
ผู้โจมตีที่ผ่านการยืนยันตัวตน แต่ไม่จำเป็นต้องมีสิทธิ์ระดับผู้ดูแลระบบ สามารถใช้ประโยชน์จากช่องโหว่ในการทำงานของ web service deployment เพื่ออัปโหลดไฟล์ได้ตามต้องการ ซึ่งอาจทำให้เกิดการโจมตีระบบทั้งหมด
ช่องโหว่ที่สามคือช่องโหว่ missing authentication check ใน NetWeaver ซึ่งมีหมายเลข CVE-2025-42958 (คะแนน CVSS v3.1: 9.1)
ช่องโหว่นี้ทำให้ผู้ใช้ที่มีสิทธิ์สูง แต่ไม่ได้รับ authorized สามารถ อ่าน, แก้ไข หรือลบข้อมูลสำคัญ และเข้าถึงฟังก์ชันการจัดการระบบได้
SAP ยังได้แก้ไขช่องโหว่ที่มีความรุนแรงระดับ High เพิ่มเติม ดังนี้
- CVE-2025-42933 (SAP Business One SLD) : ช่องโหว่ในการจัดเก็บข้อมูลสำคัญ (เช่น ข้อมูล credentials/รหัสผ่าน) ที่ไม่ปลอดภัย ซึ่งอาจถูกขโมยข้อมูลออกไป และนำไปใช้ในทางที่ผิดได้
- CVE-2025-42929 (SLT Replication Server) : ช่องโหว่ Missing input validation ทำให้ input ที่เป็นอันตรายสามารถทำให้เกิด corrupt หรือแก้ไข replicated data ได้
- CVE-2025-42916 (S/4HANA) : ช่องโหว่ Missing input validation ใน core components ซึ่งเสี่ยงต่อการที่ผู้โจมตีจะสามารถแก้ไขดัดแปลงข้อมูลได้โดยไม่ได้รับอนุญาต
ผลิตภัณฑ์ของ SAP ซึ่งถูกใช้งานโดยองค์กรขนาดใหญ่ และมักเกี่ยวข้องกับการประมวลผลข้อมูลที่มีความสำคัญเชิงธุรกิจ จึงมักตกเป็นเป้าหมายของผู้โจมตีที่หวังผลการโจมตีระบบที่มีมูลค่าสูง
เมื่อต้นเดือนที่ผ่านมา มีการเปิดเผยว่าผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ระดับ Critical ประเภท Code Injection ที่มีหมายเลข CVE-2025-42957 ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ S/4HANA, Business One และ NetWeaver
ขอแนะนำให้ผู้ดูแลระบบปฏิบัติตามคำแนะนำในการอัปเดตแพตช์ และการลดความเสี่ยงสำหรับช่องโหว่ทั้งหมด
ที่มา : bleepingcomputer
You must be logged in to post a comment.