top of page

SAP vá khẩn cấp lỗ hổng siêu nghiêm trọng trên NetWeaver ABAP

  • Ảnh của tác giả: Kamy Le
    Kamy Le
  • 1 giờ trước
  • 4 phút đọc

Trong thế giới quản trị doanh nghiệp, SAP giống như "hệ thần kinh trung ương" vận hành mọi luồng dữ liệu quan trọng. Chính vì thế, bất kỳ một vết nứt bảo mật nào xuất hiện trên hệ thống này cũng có thể khiến các doanh nghiệp đứng ngồi không yên.

Mới đây, trong đợt cập nhật bảo mật định kỳ tháng 7/2026, SAP đã chính thức phát hành các bản vá khẩn cấp để giải quyết một loạt lỗ hổng nghiêm trọng. Trong đó đáng chú ý nhất là một lỗ hổng suýt soát đạt điểm nguy hại tuyệt đối (9.9/10) cùng những sơ hở tưởng chừng như rất nhỏ nhưng lại mở toang cánh cửa cho tin tặc.

SAP chính thức phát hành các bản vá khẩn cấp để giải quyết một loạt lỗ hổng nghiêm trọng.
SAP chính thức phát hành các bản vá khẩn cấp để giải quyết một loạt lỗ hổng nghiêm trọng.

Mối đe dọa "sát sườn" từ lỗ hổng 9.9 điểm trên SAP NetWeaver ABAP

Lỗ hổng đáng báo động nhất trong đợt này là CVE-2026-44747 với điểm nghiêm trọng CVSS gần như tối đa: 9.9/10. Lỗi này nằm trong thành phần SAP NetWeaver Application Server ABAP.

  • Nó hoạt động thế nào? Đây là lỗi "ghi ngoài phạm vi bộ nhớ" (out-of-bounds write). Nói một cách đơn giản, khi kẻ tấn công đã đăng nhập vào hệ thống, họ có thể lợi dụng những lỗi logic trong cách hệ thống quản lý bộ nhớ để làm xáo trộn, hỏng hóc vùng nhớ này.

  • Hậu quả: Từ việc làm hỏng bộ nhớ, kẻ xấu có thể dễ dàng đọc trộm, chỉnh sửa trái phép các dữ liệu nhạy cảm, hoặc tệ hơn là làm tê liệt hoàn toàn hệ thống, khiến doanh nghiệp không thể hoạt động.

  • Giải pháp: Các chuyên gia bảo mật từ hãng Onapsis cho biết doanh nghiệp có thể tạm thời khắc phục bằng cách vô hiệu hóa một số nút ICF (một thành phần kết nối) cụ thể thông qua giao dịch SICF. Tuy nhiên, cách này sẽ khiến người dùng không thể mở các giao dịch trên giao diện web (SAP GUI cho HTML). Vì thế, giải pháp triệt để và được khuyến nghị nhất lúc này là nhanh chóng cài đặt phiên bản ABAP Kernel đã được vá lỗi.

Lỗ hổng CVE-2026-44747 với CVSS 9.9/10 trên NVD.
Lỗ hổng CVE-2026-44747 với CVSS 9.9/10 trên NVD.

Rủi ro rò rỉ thông tin từ lỗi mất đồng bộ web (HTTP Smuggling)

Bên cạnh lỗ hổng 9.9 điểm kể trên, SAP cũng phải xử lý một lỗ hổng nghiêm trọng khác đạt điểm số 9.1 mang mã hiệu CVE-2026-27690. Lỗi này ảnh hưởng trực tiếp đến các bản triển khai SAP Approuter trong môi trường không phải Cloud Foundry.

  • Bản chất lỗi: Đây là lỗi "buôn lậu yêu cầu/phản hồi HTTP" (HTTP request/response smuggling). Bạn có thể hình dung khi người dùng gửi yêu cầu truy cập đến máy chủ web, hệ thống sẽ xử lý tuần tự. Nhưng lỗ hổng này cho phép kẻ tấn công chưa cần xác thực gửi đi các yêu cầu được thiết kế đặc biệt làm lệch nhịp, mất đồng bộ hóa quá trình xử lý của máy chủ.

  • Hậu quả: Sự mất đồng bộ này khiến thông tin phản hồi vốn dành cho người dùng này lại bị chuyển sang cho người khác (gây lộ thông tin cá nhân), hoặc kích hoạt các cuộc tấn công từ chối dịch vụ (DoS) khiến hệ thống bị sập vì quá tải.

Bài học đắt giá từ việc "bê nguyên" tài liệu hướng dẫn vào thực tế

Lỗ hổng cuối cùng có điểm số 9.1 (CVE-2026-44761) nằm ở SAP Commerce Cloud. Điều đáng nói là lỗi này không xuất phát từ mã nguồn phức tạp, mà lại đến từ một thói quen rất phổ biến: sử dụng cấu hình mẫu có sẵn.

  • Nguyên nhân từ đâu? Theo cơ sở dữ liệu lỗ hổng quốc gia của NIST (NVD), lỗi này bắt nguồn từ các đoạn mã cấu hình mẫu (sample scripts) được cung cấp trên trang tài liệu hướng dẫn của SAP trước đây. Các tài liệu cũ này đã không cảnh báo rõ ràng cho người dùng rằng: “Không được mang các thiết lập mẫu này vào hệ thống vận hành thực tế (production)”.

  • Sơ hở chết người: Hệ quả là nhiều doanh nghiệp đã bê nguyên cấu hình mẫu vốn chứa sẵn các thông tin đăng nhập (username/password) mặc định và công khai lên hệ thống đang chạy của mình. Kẻ tấn công chỉ cần lấy các thông tin mặc định ai cũng biết này để đổi lấy mã truy cập hợp lệ, từ đó tự do gọi các cổng kết nối (API) để đọc và sửa đổi dữ liệu.

  • Khắc phục thế nào? Rất may, nếu doanh nghiệp của bạn đã chủ động xóa bỏ cấu hình mẫu này hoặc thay thế mật khẩu mặc định bằng một khóa bảo mật mạnh mẽ, riêng biệt từ trước thì hệ thống sẽ hoàn toàn an toàn. Nếu chưa, hãy lập tức rà soát lại môi trường vận hành thực tế và xóa bỏ tài khoản mẫu OAuth 2.0 này ngay lập tức.

Lời khuyên cho doanh nghiệp

Mặc dù ở thời điểm hiện tại, các chuyên gia chưa phát hiện bất kỳ bằng chứng nào cho thấy những lỗ hổng trên bị khai thác trong thực tế, nhưng việc "phòng bệnh hơn chữa bệnh" chưa bao giờ là thừa. Các doanh nghiệp đang vận hành hệ thống SAP cần nhanh chóng kiểm tra, rà soát và áp dụng các bản cập nhật bảo mật mới nhất của tháng 7/2026 để bảo vệ an toàn cho tài sản số của mình.

Nguồn: The Hacker News

Bình luận


theo dõi ipsip việt nam trên google news.png
conact-ipsip-vietnam
zalo
đặt lịch hẹn
bottom of page