Vừa qua, các nhà nghiên cứu bảo mật đã đưa ra cảnh báo bảo mật về các cuộc tấn công khai thác trên diện rộng, nhắm tới khai thác lỗ hổng nghiêm trọng đang tồn tại trên các hệ thống SAP NetWeaver. Với điểm số 10.0 trên thang đo mức độ nghiêm trọng CVSS, CVE-2025-31324 cho phép kẻ tấn công thực hiện upload các tệp tin trực tiếp tới hệ thống mà không cần thực hiện bất kì hành động xác thực nào.

Chi tiết lỗ hổng

• Định danh lỗ hổng: CVE-2025-31324

• Điểm CVSS(3.1): 10.0

• Mức độ nghiêm trọng: Critical

• Mô tả: Lỗ hổng tồn tại trong SAP NetWeaver Visual Composer Metadata Uploader, cho phép kẻ tấn công không xác thực có thể upload các tệp nhị phân thực thi độc hại lên máy chủ, gây thiệt hại nghiêm trọng và ảnh hưởng đến các yếu tố bảo mật, toàn vẹn và sẵn sàng của hệ thống mục tiêu.

Các giải pháp của SAP thường được sử dụng trong các cơ quan chính phủ và các doanh nghiệp, tập đoàn có quy mô lớn sử dụng. Đây đều là các mục tiêu có giá trị cao đối với kẻ tấn công, ước tính có hơn 400.000 hệ thống trên toàn cầu thuộc những đối tượng trên có sử dụng các giải pháp của SAP. Sau khi thông tin về CVE-2025-31324 được công khai trên internet, các engine tìm kiếm máy chủ như Shodan, Censys thống kê có khoảng 10.000 phiên bản SAP có khả năng bị tấn công do ảnh hưởng của lỗ hổng này.

SAP Visual Composer là một công cụ mô hình hoá cho SAP NetWeaver, giúp người dùng dễ dàng sử dụng thông qua các thao tác kéo - thả. Tuy không được cài đặt theo mặc định, công cụ này là một phần của SAP NetWeaver Java stack và được kích hoạt rộng rãi trên các hệ thống Java của NetWeaver Application Server do khả năng hỗ trợ các thành phần không cần sử dụng mã hoá.

Thông qua CVE-2025-31324, kẻ tấn công có thể thực hiện tải lên hệ thống các web shell và payload độc hại. Các payload này có thể được mã hoá hoặc sử dụng kỹ thuật xáo trộn (obfuscate) để qua mặt những giải pháp antivirus truyền thống. Khi payload được tải lên hệ thống thành công, kẻ tấn công có thể kích hoạt payload thông qua Scheduled Task hoặc sử dụng Command and Scripting Interpreter để thực thi mã độc trực tiếp. Mặt khác, kẻ tấn công cũng có thể sử dụng kỹ thuật DLL Side-Loading để chạy mã độc bằng cách giả mạo các thư viện DLL hợp pháp của SAP.

Mô phỏng khai thác lỗ hổng

Khuyến nghị & Khắc phục

Đội ngũ FPT Threat Intelligence khuyến nghị người dùng thực hiện các hành động sau nhằm hạn chế, giảm thiểu khả năng đối mặt với nguy cơ gây mất an toàn trên hệ thống SAP:

• Cập nhật bản vá: Thực hiện cập nhật lên phiên bản mới nhất của SAP NetWeaver từ hãng. Đồng thời, người dùng cũng nên theo dõi các thông tin mới nhất, các bản vá cập nhật hay các biện pháp giảm thiểu có liên quan tới lỗ hổng CVE-2025-31324.

• Vô hiệu hoá SAP Visual Composer: Thực hiện vô hiệu hoá thành phần SAP Visual Composer trong SAP NetWeaver. Ngoài ra, người dùng cũng nên thực hiện vô hiệu hoá alias developmentsever và định cấu hình các quy tắc tường lửa để hạn chế quyền truy cập vào địa chỉ URL trên ứng dụng máy chủ phát triển do URL này được nhắm tới trong các request POST của quá trình khai thác.

• Giám sát log của SAP NetWeaver: Sử dụng các giải pháp bảo mật nâng cao kết hợp các biện pháp giám sát thông qua hệ thống tập trung như SIEM. Thường xuyên kiểm tra các tệp tin lạ được sinh ra trong đường dẫn j2ee/cluster/apps/sapcom/irj/servlet_jsp/irj/root/ nhằm phát hiện và loại bỏ các tệp tin nguy hại như web shell hoặc payload trên hệ thống.

IOCs

• Web shell

Tham khảo

1. NVD - CVE-2025-31324

2. SAP zero-day vulnerability under widespread active exploitation | CyberScoop

3. ReliaQuest Uncovers New Critical Vulnerability in SAP NetWeaver