ช่องโหว่ Critical ใน SAP S/4HANA เริ่มถูกใช้โจมตีจริงแล้ว

ช่องโหว่ Code Injection ระดับ Critical ในระบบ SAP S/4HANA เริ่มถูกใช้โจมตีจริงแล้ว แม้ว่า SAP จะออกแพตช์แก้ไขตั้งแต่เดือนสิงหาคม

ช่องโหว่ที่ติดตามภายใต้รหัส CVE-2025-42957 เป็นปัญหา ABAP code injection ใน RFC-exposed function module ของ SAP S/4HANA ซึ่งได้รับคะแนนความรุนแรงถึง 9.9 ใน CVSS ช่องโหว่นี้ทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำ (low-privileged authentication users) สามารถแทรกโค้ดตามต้องการ เลี่ยงการตรวจสอบสิทธิ์ และเข้าควบคุมระบบ SAP ได้อย่างสมบูรณ์ SAP ได้ออกการแก้ไขเมื่อวันที่ 11 สิงหาคม 2025 แต่หลายองค์กรยังไม่ได้ติดตั้งอัปเดตความปลอดภัย ทำให้ตกเป็นเป้าหมายของ hacker ที่พัฒนาวิธีโจมตีขึ้นมาแล้ว

SecurityBridge ผู้ค้นพบช่องโหว่นี้และรายงานให้ SAP ทราบตั้งแต่วันที่ 27 มิถุนายน 2025 ระบุว่าพบการโจมตีจริงแล้วแม้จะยังอยู่ในวงจำกัด บริษัทยังช่วย SAP พัฒนาแพตช์และเตือนว่าการ reverse engineer แพตช์เพื่อสร้าง exploit นั้นทำได้ค่อนข้างง่ายสำหรับ SAP ABAP เนื่องจาก ABAP code เปิดให้ทุกคนเห็นได้ ผลกระทบที่อาจเกิดขึ้นจากการโจมตีรวมถึงการขโมยข้อมูล การแก้ไขข้อมูล การแทรกโค้ด การยกระดับสิทธิ์ผ่านการสร้าง backdoor account การขโมย credential และการหยุดชะงักของระบบผ่าน malware หรือ ransomware

ผลิตภัณฑ์และเวอร์ชันที่ได้รับผลกระทบ ได้แก่ S/4HANA (Private Cloud หรือ On-Premise) เวอร์ชัน S4CORE 102-108, Landscape Transformation (Analysis Platform) DMIS หลายเวอร์ชัน, Business One (SLD) เวอร์ชัน B1_ON_HANA 10.0 และ SAP-M-BO 10.0, รวมถึง NetWeaver Application Server ABAP (BIC Document) หลายเวอร์ชัน ผู้ดูแลระบบ SAP ที่ยังไม่ได้ติดตั้ง August 2025 Patch Day updates ควรดำเนินการโดยเร็วที่สุด เพื่อป้องกันระบบจากการถูกโจมตีที่กำลังเกิดขึ้นอยู่ในขณะนี้ ข้อมูลเพิ่มเติมเกี่ยวกับการดำเนินการที่แนะนำสามารถดูได้จากประกาศของ SAP สำหรับลูกค้าที่มี account เท่านั้น

ที่มา: https://www.bleepingcomputer.com/news/security/critical-sap-s-4hana-vulnerability-now-exploited-in-attacks/