Một khai thác tinh vi nhắm vào các lỗ hổng CVE nghiêm trọng trong hệ thống SAP đã được nhóm tin tặc khét tiếng ShinyHunters công khai, làm gia tăng đáng kể bối cảnh mối đe dọa đối với các môi trường SAP doanh nghiệp.

Phân tích khai thác công khai nhắm vào SAP

Khai thác này, được cho là liên kết nhiều zero-day vulnerability, đã bị rò rỉ thông qua nhóm “Scattered LAPSUS$ Hunters – ShinyHunters” trên Telegram. Sau đó, nó được VX Underground công bố vào ngày 15 tháng 8 năm 2025. Sự xuất hiện công khai của mã khai thác này đánh dấu một bước leo thang quan trọng, chuyển đổi các lỗ hổng đã được biết thành mối đe dọa trực tiếp và có khả năng bị tấn công rộng rãi.

Chi tiết kỹ thuật về CVE-2025-31324

Khai thác vũ khí hóa này nhắm mục tiêu chính vào CVE-2025-31324, một lỗ hổng nghiêm trọng trong SAP NetWeaver Visual Composer. Lỗ hổng này đạt điểm CVSS 10.0, mức độ nghiêm trọng cao nhất, phản ánh khả năng gây ra tác động tàn khốc. Đặc điểm nổi bật của CVE-2025-31324 là cho phép kẻ tấn công không cần xác thực thực thi các lệnh tùy ý trên các hệ thống SAP mục tiêu. Điều này có nghĩa là kẻ tấn công có thể xâm nhập hệ thống mà không cần bất kỳ thông tin xác thực hợp lệ nào, dẫn đến khả năng chiếm quyền điều khiển hoàn toàn hệ thống.

Tác động của lỗ hổng này bao gồm khả năng kẻ tấn công thực hiện các hành động như:

• Thực thi mã độc hại.
• Thay đổi cấu hình hệ thống.
• Truy cập hoặc sửa đổi dữ liệu nhạy cảm.
• Thiết lập quyền truy cập lâu dài vào hệ thống.

Mở rộng khai thác với CVE-2025-42999

Khai thác này được thiết kế tinh vi để kết hợp CVE-2025-31324 với CVE-2025-42999. Lỗ hổng thứ hai là một lỗ hổng deserialization, cho phép các cuộc tấn công theo kiểu “live off the land” (sử dụng các công cụ và tính năng có sẵn trên hệ thống nạn nhân) mà không cần triển khai thêm các tệp hay mã độc trên hệ thống mục tiêu. Điều này làm cho cuộc tấn công trở nên khó phát hiện hơn bằng các giải pháp bảo mật truyền thống dựa trên dấu hiệu tệp.

Bằng cách kết hợp hai lỗ hổng, kẻ tấn công có thể tận dụng deserialization để tạo ra một chuỗi khai thác mạnh mẽ. Điều này cho phép thực hiện remote code execution một cách hiệu quả và lén lút, tận dụng các quy trình hợp pháp của hệ thống SAP để thực hiện các hành vi độc hại.

Cơ chế khai thác và sự hiểu biết sâu sắc về kiến trúc SAP

Vector tấn công cho thấy sự hiểu biết sâu sắc về kiến trúc nội bộ của SAP. Kẻ tấn công đã sử dụng các lớp SAP tùy chỉnh cụ thể như com.sap.sdo.api.* và com.sap.sdo.impl.* làm các khối xây dựng cho payload khai thác. Việc sử dụng các lớp này cho thấy sự nghiên cứu kỹ lưỡng về cách các thành phần SAP tương tác và xử lý dữ liệu.

Mã khai thác cũng có khả năng tự điều chỉnh linh hoạt dựa trên các phiên bản SAP NetWeaver khác nhau. Điều này chứng tỏ khả năng thích ứng của kẻ tấn công và sự hiểu biết chi tiết về các biến thể nền tảng. Khả năng tương thích chéo này làm tăng phạm vi tiềm năng của cuộc tấn công, đe dọa nhiều hệ thống SAP với các cấu hình phiên bản khác nhau.

Tác động nghiêm trọng của việc công khai khai thác

Các nhà nghiên cứu bảo mật từ Onapsis, đơn vị ban đầu phát hiện và báo cáo một số lỗ hổng CVE này, nhấn mạnh rằng mặc dù đây không phải là các lỗ hổng mới, nhưng việc công khai mã khai thác hoạt động được làm tăng đáng kể nguy cơ bị tấn công trên diện rộng. Sự có sẵn của mã khai thác làm giảm ngưỡng kỹ thuật cho các nhóm tấn công khác, bao gồm cả những nhóm ít tinh vi hơn, để tiến hành các cuộc tấn công.

Thành phần gadget deserialization của khai thác đặc biệt đáng lo ngại, vì nó có khả năng được tái sử dụng để khai thác các lỗ hổng SAP khác đã được phát hiện vào tháng 7 năm 2025. Điều này cho thấy rằng một công cụ hoặc kỹ thuật khai thác có thể có tác động dây chuyền, mở ra cánh cửa cho nhiều cuộc tấn công trong tương lai.

Biện pháp phòng ngừa và giảm thiểu rủi ro bảo mật

Các tổ chức đang chạy hệ thống SAP được khuyến nghị mạnh mẽ phải ngay lập tức xác minh việc triển khai bản vá bảo mật cho tất cả các thông báo bảo mật đã được liệt kê. Điều này bao gồm kiểm tra kỹ lưỡng để đảm bảo rằng tất cả các bản vá liên quan đến lỗ hổng CVE này và các lỗ hổng tương tự đã được áp dụng đúng cách.

Để giảm thiểu rủi ro, các bước sau đây là cực kỳ quan trọng:

• Cập nhật bản vá kịp thời: Luôn đảm bảo rằng các hệ thống SAP được cập nhật với các bản vá bảo mật mới nhất từ SAP. Truy cập tài liệu chính thức của SAP hoặc CISA để biết thông tin chi tiết về các bản vá liên quan.
• Giám sát hoạt động đáng ngờ: Triển khai các giải pháp giám sát toàn diện để phát hiện các hoạt động bất thường hoặc đáng ngờ trên hệ thống SAP. Điều này bao gồm việc theo dõi lưu lượng mạng, nhật ký hệ thống và các hành vi không mong muốn từ các tài khoản người dùng hoặc quy trình.
• Đánh giá rủi ro định kỳ: Thực hiện các đánh giá bảo mật định kỳ và kiểm tra thâm nhập để xác định các lỗ hổng còn tồn tại và đánh giá hiệu quả của các biện pháp kiểm soát hiện có.
• Áp dụng nguyên tắc quyền tối thiểu: Đảm bảo rằng người dùng và ứng dụng chỉ có các quyền cần thiết để thực hiện công việc của họ.
• Phân đoạn mạng: Cô lập các hệ thống SAP quan trọng trong các phân đoạn mạng được bảo vệ, giảm thiểu khả năng lây lan của một cuộc tấn công.

Sự tinh vi của khai thác và sự tham gia của các tác nhân đe dọa đã biết như ShinyHunters nhấn mạnh tầm quan trọng thiết yếu của việc duy trì các bản cập nhật bản vá bảo mật SAP và triển khai các giải pháp giám sát toàn diện. Việc công bố khai thác này đại diện cho một sự leo thang đáng kể trong bối cảnh mối đe dọa đối với các môi trường SAP, với các chuyên gia bảo mật dự đoán gia tăng các nỗ lực khai thác sau khi mã này được công khai. Để biết thêm chi tiết về lỗ hổng, có thể tham khảo NVD NIST về CVE-2025-31324.