ช่องโหว่ Critical ใน SAP S/4HANA เริ่มถูกใช้โจมตีจริงแล้ว

ช่องโหว่ Code Injection ระดับ Critical ในระบบ SAP S/4HANA เริ่มถูกใช้โจมตีจริงแล้ว แม้ว่า SAP จะออกแพตช์แก้ไขตั้งแต่เดือนสิงหาคม

Credit: ShutterStock.com

ช่องโหว่ที่ติดตามภายใต้รหัส CVE-2025-42957 เป็นปัญหา ABAP code injection ใน RFC-exposed function module ของ SAP S/4HANA ซึ่งได้รับคะแนนความรุนแรงถึง 9.9 ใน CVSS ช่องโหว่นี้ทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำ (low-privileged authentication users) สามารถแทรกโค้ดตามต้องการ เลี่ยงการตรวจสอบสิทธิ์ และเข้าควบคุมระบบ SAP ได้อย่างสมบูรณ์ SAP ได้ออกการแก้ไขเมื่อวันที่ 11 สิงหาคม 2025 แต่หลายองค์กรยังไม่ได้ติดตั้งอัปเดตความปลอดภัย ทำให้ตกเป็นเป้าหมายของ hacker ที่พัฒนาวิธีโจมตีขึ้นมาแล้ว

SecurityBridge ผู้ค้นพบช่องโหว่นี้และรายงานให้ SAP ทราบตั้งแต่วันที่ 27 มิถุนายน 2025 ระบุว่าพบการโจมตีจริงแล้วแม้จะยังอยู่ในวงจำกัด บริษัทยังช่วย SAP พัฒนาแพตช์และเตือนว่าการ reverse engineer แพตช์เพื่อสร้าง exploit นั้นทำได้ค่อนข้างง่ายสำหรับ SAP ABAP เนื่องจาก ABAP code เปิดให้ทุกคนเห็นได้ ผลกระทบที่อาจเกิดขึ้นจากการโจมตีรวมถึงการขโมยข้อมูล การแก้ไขข้อมูล การแทรกโค้ด การยกระดับสิทธิ์ผ่านการสร้าง backdoor account การขโมย credential และการหยุดชะงักของระบบผ่าน malware หรือ ransomware

ผลิตภัณฑ์และเวอร์ชันที่ได้รับผลกระทบ ได้แก่ S/4HANA (Private Cloud หรือ On-Premise) เวอร์ชัน S4CORE 102-108, Landscape Transformation (Analysis Platform) DMIS หลายเวอร์ชัน, Business One (SLD) เวอร์ชัน B1_ON_HANA 10.0 และ SAP-M-BO 10.0, รวมถึง NetWeaver Application Server ABAP (BIC Document) หลายเวอร์ชัน ผู้ดูแลระบบ SAP ที่ยังไม่ได้ติดตั้ง August 2025 Patch Day updates ควรดำเนินการโดยเร็วที่สุด เพื่อป้องกันระบบจากการถูกโจมตีที่กำลังเกิดขึ้นอยู่ในขณะนี้ ข้อมูลเพิ่มเติมเกี่ยวกับการดำเนินการที่แนะนำสามารถดูได้จากประกาศของ SAP สำหรับลูกค้าที่มี account เท่านั้น

ที่มา: https://www.bleepingcomputer.com/news/security/critical-sap-s-4hana-vulnerability-now-exploited-in-attacks/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …