SAP於8月的每月例行更新(Security Patch Day)當中,修補接近滿分的重大資安漏洞CVE-2025-42950、CVE-2025-42957(CVSS風險皆為9.9),其中,通報CVE-2025-42957的資安業者SecurityBridge提出警告,他們發現這項漏洞正遭到實際利用的現象,呼籲IT人員要儘速採取行動,套用修補程式來因應。
CVE-2025-42957存在於S/4HANA,為程式碼注入漏洞,攻擊者一旦取得低權限的使用者帳號,就有機會控制SAP應用系統。由於無論是本地建置或是私有雲版本的S/4HANA都受到影響,因此影響的範圍恐怕相當廣泛。
而對於這項漏洞帶來的影響,SecurityBridge提出進一步說明,一旦攻擊者成功利用,就能得到作業系統層級的存取權限,並完全存取SAP應用系統的所有資料,其中,他們甚至能直接在SAP資料庫刪除或插入資料、透過SAP_ALL建立新的使用者、下載密碼雜湊值,甚至竄改業務流程,換言之,藉由這項漏洞,攻擊者有機會進一步竊取資料、從事間諜活動、部署勒索軟體,或是進行詐欺。為了證明漏洞造成的影響,SecurityBridge也透過影響展示概念驗證(PoC)。
雖然攻擊者並未廣泛將其用於攻擊行動,但SecurityBridge已經確認有實際濫用漏洞的現象,這代表已經有人知道如何利用,只要是尚未修補的SAP系統,就有可能曝險。SecurityBridge提及,由於ABAP的程式碼是公開的,想要對修補程式進行逆向工程,算是相對容易。再者,攻擊者只需要得到低階有效帳號,就有機會利用,過程裡完全無須使用者互動。
不過,對於這項漏洞遭到利用情況,SecurityBridge並未進一步說明其他細節。
熱門新聞
2025-12-02
2025-12-01
2025-12-01
2025-12-01
2025-11-30
2025-12-04