Lỗ hổng Zero-Day trong SAP bị khai thác từ tháng 1, nhiều ngành bị ảnh hưởng

  • Post category:Tin tức
You are currently viewing Lỗ hổng Zero-Day trong SAP bị khai thác từ tháng 1, nhiều ngành bị ảnh hưởng

Hàng trăm hệ thống SAP NetWeaver đã bị xâm nhập thông qua việc khai thác một lỗ hổng zero-day mới được tiết lộ, cho phép thực thi mã từ xa (RCE).

Lỗ hổng này, được theo dõi với mã CVE-2025-31324 (điểm CVSS 10/10), đã bị khai thác từ ngày 22 tháng 4, hai ngày trước khi SAP phát hành bản vá, cảnh báo rằng nó cho phép kẻ tấn công tải lên các tệp thực thi độc hại vào máy chủ dễ bị tổn thương.

Công ty bảo mật ứng dụng doanh nghiệp Onapsis đã điều tra các cuộc tấn công cùng với Mandiant và cho biết tuần này rằng các tác nhân đe dọa đã quay lại các máy chủ NetWeaver bị xâm nhập để sử dụng các webshell đã triển khai trước đó cho các hoạt động tiếp theo.

Vào thứ Năm, công ty an ninh mạng nói với SecurityWeek rằng họ hiện đang theo dõi hàng trăm hệ thống SAP trên toàn thế giới đã bị xâm nhập tích cực từ việc khai thác này.

“Onapsis và Mandiant đang chứng kiến việc khai thác trên nhiều ngành công nghiệp và khu vực địa lý, bao gồm các vụ xâm nhập đã được xác nhận tại các tổ chức năng lượng và tiện ích, sản xuất, truyền thông và giải trí, dầu khí, dược phẩm, bán lẻ và chính phủ,” Onapsis cho biết.

Phân tích một cuộc khai thác thực tế, công ty an ninh mạng cho biết, đã tiết lộ rằng các tác nhân đe dọa đã nhắm mục tiêu vào lỗi này để đạt được RCE từ ngày 20 tháng 1 năm 2025, khi họ bắt đầu thăm dò các hệ thống dễ bị tổn thương.

Các webshell được thảo luận công khai, Onapsis cảnh báo trong một bài đăng kỹ thuật cập nhật, có khả năng đã được tải lên các máy chủ dễ bị tổn thương sau khi các lệnh RCE khác được thực thi trong giai đoạn trinh sát của các cuộc tấn công ban đầu. Lỗi này không chỉ giới hạn ở việc tải lên tệp tùy ý, như ban đầu được tin tưởng.

“Cuộc khai thác được quan sát cho thấy kiến thức rất cao cấp về SAP từ nhóm tác nhân đe dọa chịu trách nhiệm,” Onapsis lưu ý.

Công ty an ninh mạng kêu gọi các nhà bảo vệ cập nhật các sổ tay của họ, cảnh báo rằng “việc xâm nhập và duy trì hiện diện bằng cách sử dụng các công cụ có sẵn trong hệ thống là có thể mà không cần webshells”. Các tác nhân đe dọa đã gửi các yêu cầu POST, HEAD hoặc GET đến thành phần dễ bị tổn thương để thực thi các lệnh tùy ý từ xa.

Mandiant và Onapsis đã cập nhật trình quét mã nguồn mở của họ để phản ánh những phát hiện mới nhất và giúp các tổ chức săn tìm các chỉ số xâm nhập (IoCs) tốt hơn.

“Việc vá lỗi CVE-2025-31324, giảm thiểu nếu bạn không thể vá, và – nếu bị lộ – đánh giá mức độ xâm nhập nên là các ưu tiên quan trọng,” Onapsis nói.

Trong khi làn sóng tấn công thứ hai vào các máy chủ đã bị xâm nhập trước đó chủ yếu mang tính cơ hội, Forescout vào thứ Năm đã liên kết một chiến dịch tấn công gần đây hơn nhắm vào CVE-2025-31324 – bắt đầu vào ngày 29 tháng 4 – với một tác nhân đe dọa Trung Quốc được theo dõi với tên Chaya_004.

Nguồn: SecurityWeek