SAP vá lỗ hổng zero-day thứ hai bị khai thác trong các cuộc tấn công gần đây

Công ty này đã phát hành bản cập nhật bảo mật cho lỗ hổng CVE-2025-42999 vào ngày 12/5 và cho biết họ đã phát hiện ra lỗ hổng trong khi điều tra các cuộc tấn công zero-day, liên quan đến một lỗ hổng tải tệp chưa xác thực khác (được theo dõi là CVE-2025-31324) trong SAP NetWeaver Visual Composer đã được khắc phục vào tháng 4. “SAP đã giải quyết các lỗ hổng trong SAP NETWEAVER Visual Composer. Chúng tôi khuyến cáo tất cả khách hàng sử dụng SAP NETWEAVER cài đặt các bản vá này để tự bảo vệ mình”, đại diện SAP cho biết.

Công ty an ninh mạng ReliaQuest (Mỹ) lần đầu tiên phát hiện các cuộc tấn công khai thác lỗ hổng CVE-2025-31324 vào tháng 4, báo cáo rằng các tác nhân đe dọa đã tải các webshell JSP lên các thư mục công khai và công cụ Brute Ratel, sau khi xâm phạm hệ thống của khách hàng thông qua việc tải tệp trái phép lên SAP NetWeaver. Các trường hợp bị tấn công đã được vá hoàn toàn, cho thấy những kẻ tấn công đã sử dụng một lỗ hổng zero-day.

Hoạt động độc hại này cũng đã được xác nhận bởi các công ty an ninh mạng watchTowr và Onapsis. Những công ty đến từ Mỹ này cũng đã quan sát thấy những kẻ tấn công tải lên các backdoor webshell trên các trường hợp chưa vá được phát hiện trực tuyến. Hãng bảo mật Forescout (Mỹ) đã liên kết một số cuộc tấn công này với một tác nhân đe dọa Trung Quốc mà họ theo dõi có tên Chaya_004.

Patrice Auffret, Giám đốc công nghệ của Onyphe đã chia sẻ với trang tin BleepingComputer vào cuối tháng 4 rằng: “Khoảng 20 công ty thuộc Fortune 500/Global 500 dễ bị tấn công và nhiều công ty trong số đó đã bị xâm phạm”, đồng thời cho biết có 1.284 trường hợp dễ bị tấn công trực tuyến tại thời điểm đó, trong đó 474 trường hợp đã bị xâm phạm. Shadowserver Foundation hiện đang theo dõi hơn 2.040 máy chủ SAP Netweaver được kết nối với Internet và dễ bị tấn công. Trong khi SAP không xác nhận rằng CVE-2025-42999 đã bị khai thác ngoài thực tế, Giám đốc công nghệ của Onapsis, Juan Pablo Perez-Etchegoyen cho rằng kẻ tấn công đã kết hợp cả hai lỗ hổng bảo mật này trong các cuộc tấn công kể từ tháng 01/2025. Ông Perez-Etchegoyen chia sẻ: “Các cuộc tấn công mà chúng tôi quan sát được vào tháng 3/2025 thực chất đang lợi dụng cả hai lỗ hổng, bao gồm CVE-2025-31324 và CVE-2025-42999. Sự kết hợp này cho phép kẻ tấn công thực hiện các lệnh tùy ý từ xa và không cần bất kỳ loại đặc quyền nào trên hệ thống”.

Quản trị viên SAP được khuyến cáo nên vá ngay các phiên bản NetWeaver của mình và cân nhắc tắt dịch vụ Visual Composer nếu có thể, cũng như hạn chế quyền truy cập vào các dịch vụ tải lên (upload) metadata và theo dõi các hoạt động đáng ngờ trên máy chủ của mình.

Kể từ khi các cuộc tấn công bắt đầu, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã thêm lỗ hổng CVE-2025-31324 vào Danh mục lỗ hổng đã khai thác đã biết (KEV), yêu cầu các cơ quan liên bang của Mỹ bảo mật hệ thống của họ trước ngày 20/5, CISA cảnh báo: “Những loại lỗ hổng này thường là mục tiêu tấn công của tin tặc và gây ra rủi ro đáng kể cho doanh nghiệp liên bang”.