SAP ออกแพตซ์อัปเดตความปลอดภัยประจำเดือนพฤศจิกายน เพื่อแก้ไขช่องโหว่หลายรายการ รวมถึงช่องโหว่ที่มีระดับความรุนแรงสูงสุดใน SQL Anywhere Monitor Non-GUI และช่องโหว่ code injection ระดับ Critical ในแพลตฟอร์ม Solution Manager
ช่องโหว่ใน SQL Anywhere Monitor นี้มีหมายเลข CVE-2025-42890 โดยเกิดจาก hardcoded credentials เนื่องจากความเสี่ยงที่สูงมาก ช่องโหว่นี้จึงได้รับคะแนนความรุนแรงสูงสุด 10.0
คำอธิบายสำหรับช่องโหว่ระบุว่า "SQL Anywhere Monitor (Non-GUI) มีการฝัง credentials ไว้ในโค้ด ทำให้ทรัพยากร หรือฟังก์ชันการทำงานถูกเปิดเผยต่อผู้ไม่หวังดี และเปิดโอกาสให้ผู้โจมตีสามารถรันโค้ดอันตรายได้"
ผู้โจมตีที่ได้ credentials ไป จะสามารถนำไปใช้เข้าถึงฟังก์ชัน administrative ได้ ทั้งนี้ขึ้นอยู่กับวิธีการใช้งาน
SQL Anywhere Monitor เป็นเครื่องมือตรวจสอบ และแจ้งเตือนฐานข้อมูล ซึ่งเป็นส่วนหนึ่งของชุดโปรแกรม SQL Anywhere โดยทั่วไปมักใช้โดยองค์กรที่จัดการฐานข้อมูลแบบ distributed{} หรือ remote databases
non-GUI monitor component นี้ มักจะถูกติดตั้งบนอุปกรณ์ที่ทำงานอัตโนมัติ ซึ่งทำงานโดยไม่มีการตรวจสอบจากมนุษย์
ช่องโหว่ critical อันดับสอง มีหมายเลข CVE-2025-42887 มีคะแนน CVSS 9.9 และส่งผลกระทบต่อ SAP Solution Manager ซึ่งเป็นแพลตฟอร์มสำหรับการจัดการ lifecycle ของแอปพลิเคชัน
รายการในฐานข้อมูลช่องโหว่ระบุว่า "เนื่องจากการขาดการตรวจสอบข้อมูล input ของ SAP Solution Manager ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้ว สามารถแทรกโค้ดที่เป็นอันตรายเมื่อเรียกใช้ remote-enabled function module"
"ช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถเข้าควบคุมระบบได้อย่างสมบูรณ์ ส่งผลกระทบอย่างมากต่อการรักษาความลับ, ความสมบูรณ์ และความพร้อมใช้งาน ของระบบ"
SAP Solution Manager เป็นแพลตฟอร์มการจัดการ และตรวจสอบแบบรวมศูนย์สำหรับ SAP ซึ่งโดยทั่วไปจะใช้โดยองค์กรขนาดใหญ่ที่ดำเนินงานเครือข่ายที่ซับซ้อน ซึ่งครอบคลุม ERP Solution, CRM และการวิเคราะห์
ในแพตซ์อัปเดตความปลอดภัยประจำเดือนพฤศจิกายน 2025 นี้ SAP ยังได้ออกแพตช์แก้ไขช่องโหว่ระดับความรุนแรงสูงอีก 1 รายการ (CVE-2025-42940) และช่องโหว่ความรุนแรงระดับปานกลางอีก 14 รายการ
นอกจากนี้ SAP ยังได้ออกอัปเดตสำหรับ CVE-2025-42944 ซึ่งเป็นช่องโหว่ระดับ critical ใน NetWeaver ที่เพิ่งได้รับการแก้ไขเบื้องต้นไปเมื่อเดือนที่แล้ว
ผลิตภัณฑ์ SAP ซึ่งถูกใช้งานอย่างแพร่หลายในองค์กรขนาดใหญ่ และได้รับความไว้วางใจให้จัดเก็บข้อมูลที่มีความสำคัญอย่างยิ่ง จึงมักตกเป็นเป้าหมายบ่อยครั้งสำหรับผู้โจมตีที่ต้องการเข้าถึงข้อมูลที่มีมูลค่าสูง
เมื่อต้นปีนี้ นักวิจัยจาก SecurityBridge ได้รายงานการโจมตีที่กำลังเกิดขึ้นจากช่องโหว่ code-injection ระดับ critical ซึ่งมีหมายเลข CVE-2025-42957 และส่งผลกระทบต่อระบบ SAP S/4HANA, Business One และ NetWeaver
ยังไม่มีการตรวจพบการโจมตีที่กำลังเกิดขึ้นจริงสำหรับช่องโหว่ระดับ critical 2 รายการที่ SAP แก้ไขในครั้งนี้ แต่ผู้ดูแลระบบได้รับคำแนะนำให้ติดตั้งแพตซ์อัปเดตโดยเร็วที่สุด และปฏิบัติตามคำแนะนำในการลดความเสี่ยงสำหรับ CVE-2025-42890 และ CVE-2025-42887
ที่มา : bleepingcomputer
You must be logged in to post a comment.