Một lỗ hổng CVE mới được công bố trong SAP NetWeaver AS ABAP và ABAP Platform (CVE-2025-42902) cho phép kẻ tấn công không cần xác thực làm sập các tiến trình máy chủ bằng cách gửi các SAP Logon Tickets hoặc SAP Assertion Tickets bị định dạng sai. Lỗ hổng này được đánh giá ở mức độ nghiêm trọng Trung bình với điểm CVSS 3.1 là 5.3, xuất phát từ việc tham chiếu con trỏ NULL dẫn đến lỗi hỏng bộ nhớ và chấm dứt tiến trình.

Các phiên bản bị ảnh hưởng bao gồm tất cả các bản phát hành được hỗ trợ từ 7.22 đến 9.16. SAP đã phát hành các thông báo tư vấn và bản vá vào ngày 14 tháng 10 năm 2025.

Phân tích Kỹ thuật Lỗ hổng CVE-2025-42902

Tổng quan về CVE-2025-42902

CVE-2025-42902 phát sinh từ việc xác thực không đầy đủ các SAP Logon Tickets và SAP Assertion Tickets đến. Khi máy chủ ứng dụng xử lý một ticket bị hỏng, nó sẽ tham chiếu một con trỏ NULL, dẫn đến việc tiến trình làm việc ABAP bị sập. Vì lỗi này không yêu cầu xác thực hoặc tương tác của người dùng, nó có thể bị khai thác từ xa qua mạng. Mặc dù tính bảo mật (confidentiality) và tính toàn vẹn (integrity) vẫn được giữ nguyên, tính sẵn sàng (availability) bị ảnh hưởng: việc gửi ticket lặp lại có thể gây ra các điều kiện từ chối dịch vụ (denial-of-service – DoS).

SAP đã xác nhận vấn đề này ảnh hưởng đến cả AS ABAP và ABAP Platform trên nhiều phiên bản kernel và bản dựng.

Chi tiết Kỹ thuật: Tham chiếu Con trỏ NULL

Nguyên nhân cơ bản là một lỗi Tham chiếu Con trỏ NULL (CWE-476) trong quá trình phân tích ticket. Máy chủ ứng dụng SAP mong đợi một đối tượng ticket có cấu trúc, nhưng đầu vào bị định dạng sai dẫn đến một tham chiếu NULL không mong muốn. Tiến trình làm việc cố gắng truy cập bộ nhớ tại con trỏ NULL này, dẫn đến một sự cố.

Trong một cuộc tấn công mạng điển hình, kẻ tấn công sẽ tạo ra một tải trọng ticket bị định dạng sai và gửi nó thông qua các giao diện đăng nhập SAP tiêu chuẩn. Không yêu cầu thông tin đăng nhập người dùng SAP hợp lệ.

Mỗi lần gửi ticket bị định dạng sai sẽ khiến một tiến trình làm việc bị chấm dứt. Với đủ số lượng kết nối song song, toàn bộ phiên bản máy chủ có thể trở nên không phản hồi. Điều này tạo ra một rủi ro bảo mật nghiêm trọng về tính sẵn sàng của hệ thống.

Lỗi này khác với các vấn đề tiêm chích (injection) hoặc bỏ qua xác thực (authentication bypass) thông thường. Nó chỉ dựa vào một lỗi an toàn bộ nhớ trong quá trình xử lý ticket.

Ảnh hưởng và Rủi ro của Lỗ hổng CVE-2025-42902

Phạm vi Ảnh hưởng

Lỗ hổng CVE-2025-42902 ảnh hưởng đến các phiên bản SAP NetWeaver AS ABAP và ABAP Platform. Cụ thể, các bản phát hành được hỗ trợ từ 7.22 đến 9.16 đều tiềm ẩn nguy cơ. Sự cố sập tiến trình có thể dẫn đến gián đoạn hoạt động kinh doanh nghiêm trọng đối với các tổ chức dựa vào các hệ thống SAP này.

Khả năng bị khai thác từ xa và không cần xác thực làm tăng đáng kể rủi ro bảo mật. Kẻ tấn công có thể dễ dàng khởi động một cuộc tấn công DoS chỉ bằng cách gửi các ticket được thiết kế đặc biệt.

Tác động đến Tính Sẵn sàng

Tác động chính của lỗ hổng CVE này là về tính sẵn sàng của hệ thống. Mặc dù dữ liệu không bị lộ hoặc bị thay đổi, khả năng dịch vụ bị gián đoạn hoàn toàn có thể gây thiệt hại lớn. Các tiến trình làm việc ABAP bị sập liên tục sẽ làm cho các ứng dụng SAP không thể truy cập được, ảnh hưởng đến các hoạt động cốt lõi của doanh nghiệp.

Điểm CVSS 3.1 là 5.3, mặc dù không phải là cao nhất, nhưng vẫn cho thấy một mức độ nghiêm trọng cần được quan tâm. Đặc biệt với tính chất không cần xác thực, việc khai thác trở nên dễ dàng hơn nhiều, đẩy cao cảnh báo CVE này lên.

Biện pháp Khắc phục và Giảm thiểu Rủi ro

Cập nhật Bản vá Bảo mật Khẩn cấp

Để khắc phục lỗ hổng CVE-2025-42902, SAP đã công bố security note 3627308 và phát hành các bản vá trong ngày vá lỗi tháng 10 năm 2025 của mình. Quản trị viên nên áp dụng ngay lập tức các bản cập nhật bản vá kernel và nền tảng được cung cấp để bảo vệ hệ thống khỏi các cuộc tấn công mạng tiềm tàng. Việc trì hoãn có thể khiến hệ thống gặp phải các rủi ro bảo mật không đáng có.

Việc cập nhật bản vá kịp thời là biện pháp phòng thủ hiệu quả nhất để đảm bảo an toàn thông tin cho hạ tầng SAP của bạn. Đây là phản ứng cần thiết trước một cảnh báo CVE.

Giải pháp Tạm thời

Như một giải pháp tạm thời, các tổ chức có thể chặn phân tích ticket đến bằng cách tắt chấp nhận external logon ticket trên thành phần SAP ICM. Tuy nhiên, điều này có thể làm gián đoạn các đăng nhập liên kết (federated logins) hợp lệ, nên cần cân nhắc kỹ lưỡng trước khi triển khai.

Giải pháp này chỉ nên được sử dụng khi không thể áp dụng cập nhật bản vá ngay lập tức, và phải được hiểu rõ về các tác động phụ có thể xảy ra đối với người dùng hợp pháp.

Chiến lược Giảm thiểu Rủi ro Bổ sung

• Vá lỗi Chủ động: Vì chưa có bằng chứng công khai về việc khai thác lỗ hổng này, việc vá lỗi chủ động vẫn là biện pháp phòng thủ tốt nhất.
• Đánh giá Tư thế Bảo mật Định kỳ: Thực hiện đánh giá thường xuyên các cấu hình bảo mật hệ thống SAP để xác định và khắc phục các điểm yếu.
• Lọc Cấp độ Mạng: Áp dụng các quy tắc lọc cấp độ mạng (network-level filtering) cho các giao diện SAP để chỉ cho phép truy cập từ các nguồn đáng tin cậy.
• Cấu hình SAProuter và Web Dispatcher: Đảm bảo SAProuter hoặc Web Dispatcher được cấu hình để chỉ cho phép các kết nối từ các nguồn được tin cậy. Điều này giúp giới hạn phạm vi tiếp xúc với lỗ hổng CVE và giảm thiểu rủi ro bảo mật.

Bằng cách kết hợp các biện pháp này, các tổ chức có thể tăng cường an toàn thông tin cho môi trường SAP NetWeaver của mình và bảo vệ chống lại CVE-2025-42902 và các mối đe dọa mạng khác.

Để biết thêm thông tin chi tiết về lỗ hổng CVE-2025-42902, bạn có thể tham khảo tại nguồn cve.org.