Một lỗ hổng CVE bảo mật nghiêm trọng đã được phát hiện trong dịch vụ Deploy của SAP NetWeaver AS Java. Lỗ hổng này cho phép những kẻ tấn công đã xác thực thực thi mã tùy ý, có khả năng đạt được quyền kiểm soát toàn diện hệ thống. Điều này gây ra rủi ro đáng kể cho các tổ chức sử dụng môi trường SAP bị ảnh hưởng.

Chi tiết Lỗ hổng CVE-2025-42922

Lỗ hổng này được theo dõi dưới mã định danh CVE-2025-42922 và ảnh hưởng đến thành phần Deploy Web Service.

Nguyên nhân chính là do các cơ chế tải lên tệp không an toàn và việc kiểm tra kiểm soát truy cập không đầy đủ trong Deploy Web Service. Điều này đã được nêu chi tiết trong một báo cáo của Redrays, nhấn mạnh tầm quan trọng của việc đánh giá bảo mật định kỳ.

Vấn đề cốt lõi liên quan đến việc xử lý không đúng cách các yêu cầu multipart/form-data. Hệ thống thiếu cơ chế thực thi kiểm soát truy cập dựa trên vai trò (RBAC) phù hợp và không có tính năng xác thực kiểu tệp đầy đủ.

Khoảng trống bảo mật này cho phép người dùng đã xác thực, ngay cả với đặc quyền thấp, bỏ qua các hạn chế đã định. Họ có thể tải lên các tệp độc hại vào hệ thống, tạo ra một con đường tiềm năng cho các cuộc tấn công nghiêm trọng.

Các ứng dụng doanh nghiệp như SAP NetWeaver thường xử lý các tác vụ quan trọng. Việc thiếu kiểm soát truy cập nghiêm ngặt và xác thực đầu vào đầy đủ trong các thành phần triển khai tạo điều kiện cho các lỗ hổng như lỗ hổng CVE này.

Kịch bản Tấn công và Khai thác

Kịch bản tấn công bắt đầu khi kẻ tấn công có được thông tin đăng nhập có đặc quyền thấp. Việc này có thể thông qua nhiều phương tiện khác nhau, chẳng hạn như tấn công nhồi nhét thông tin đăng nhập (credential stuffing), kỹ thuật xã hội hoặc khai thác các lỗ hổng khác.

Một khi đã được xác thực, kẻ tấn công có thể tạo ra các yêu cầu multipart độc hại. Các yêu cầu này chứa các tệp thực thi, ví dụ như tệp JSP, WAR hoặc EAR, được thiết kế để thực thi trên máy chủ.

Deploy Web Service chấp nhận các tệp tải lên này mà không xác thực đúng cách. Các tệp độc hại sau đó được lưu trữ tại các vị trí mà chúng có thể được thực thi bởi máy chủ.

Khi kẻ tấn công kích hoạt các tệp độc hại đã tải lên, chúng sẽ đạt được quyền remote code execution trên hệ thống. Điều này cho phép chúng chạy các lệnh tùy ý trên máy chủ bị ảnh hưởng.

Hậu quả của việc thực thi mã từ xa có thể bao gồm leo thang đặc quyền, di chuyển ngang trong mạng. Ngoài ra, kẻ tấn công có thể thực hiện đánh cắp dữ liệu nhạy cảm, gây ra tổn thất lớn cho tổ chức.

Biện pháp Khắc phục và Phòng ngừa

Áp dụng Bản vá Bảo mật

Các tổ chức sử dụng SAP NetWeaver AS Java phải ngay lập tức áp dụng các bản vá bảo mật có sẵn thông qua SAP Security Note 3643865. Đây là bước quan trọng nhất để vô hiệu hóa lỗ hổng.

Trước khi triển khai các bản vá, quản trị viên nên thực hiện phân tích phụ thuộc theo SAP Note 1974464. Bước này giúp đảm bảo khả năng tương thích của hệ thống và ngăn ngừa các gián đoạn tiềm ẩn trong quá trình vá lỗi.

Việc không áp dụng kịp thời các bản vá bảo mật có thể khiến hệ thống tiếp tục dễ bị tấn công. Điều này làm tăng nguy cơ bị khai thác bởi các tác nhân đe dọa.

Biện pháp Khắc phục Tạm thời và Tăng cường Bảo mật

Đối với các môi trường không thể áp dụng bản vá ngay lập tức, SAP cung cấp một giải pháp khắc phục tạm thời. Chi tiết được trình bày trong Bài viết Cơ sở Kiến thức (KBA) 3646072. Việc triển khai giải pháp này có thể giảm thiểu rủi ro trong ngắn hạn.

Ngoài ra, các tổ chức nên hạn chế quyền truy cập vào Deploy Web Service. Quyền này chỉ nên được cấp riêng cho người dùng quản trị có vai trò được chỉ định rõ ràng. Việc kiểm soát truy cập chặt chẽ là cần thiết để ngăn chặn sự lạm dụng.

Triển khai ghi nhật ký kiểm toán (audit logging) toàn diện là một biện pháp phòng ngừa quan trọng. Việc này giúp giám sát các yêu cầu POST đáng ngờ tới các điểm cuối triển khai, đặc biệt là các yêu cầu liên quan đến lỗ hổng CVE này.

Chỉ số Hiểm nguy (IOCs) và Phát hiện Xâm nhập

Các nhóm bảo mật nên triển khai giám sát để phát hiện các chỉ số hiểm nguy (IOCs) cụ thể. Việc này sẽ giúp nhận diện các hoạt động đáng ngờ liên quan đến khai thác lỗ hổng CVE này.

• Yêu cầu HTTP POST tới các điểm cuối “DeployWS” từ người dùng không phải quản trị viên.
• Các yêu cầu multipart/form-data submissions chứa các kiểu tệp thực thi, chẳng hạn như JSP, WAR, hoặc EAR.
• Các mẫu truy cập URL không mong muốn sau khi triển khai tệp.
• Các hoạt động triển khai xảy ra trong khung thời gian bất thường hoặc ngoài giờ làm việc thông thường.

Các bộ lọc phát hiện được đề xuất bao gồm giám sát các yêu cầu POST tới các đường dẫn chứa “DeployWS” với kiểu nội dung multipart/form-data. Đặc biệt chú ý đến các yêu cầu được thực hiện bởi các tài khoản người dùng không phải quản trị viên.

Các tổ chức cũng nên xem xét nhật ký truy cập hiện có để tìm các dấu hiệu lịch sử của các nỗ lực khai thác. Phân tích nhật ký có thể tiết lộ các hoạt động đáng ngờ đã xảy ra trước khi phát hiện lỗ hổng CVE này.

Việc phát hiện ra lỗ hổng này nhấn mạnh tầm quan trọng của việc duy trì các cơ chế kiểm soát truy cập mạnh mẽ và xác thực tệp trong các ứng dụng doanh nghiệp. Điều này đặc biệt đúng đối với các dịch vụ triển khai có thể cung cấp con đường truy cập cấp hệ thống. Để biết thêm thông tin chi tiết về lỗ hổng, bạn có thể tham khảo NVD NIST hoặc báo cáo gốc từ Redrays.