SAP S/4HANA มีช่องโหว่ร้ายแรง เปิดทางแฮกเกอร์เจาะระบบ ERP รีบอัปเดตก่อนโดนเล่นงาน
นักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ร้ายแรงที่มีมีคะแนนความรุนแรงสูงถึง 9.9/10 ในระบบ SAP S/4HANA ซึ่งเป็นซอฟต์แวร์ ERP ที่องค์กรใหญ่ทั่วโลกใช้จัดการข้อมูลธุรกิจ
ช่องโหว่ CVE-2025-42957 นี้เป็นประเภท Command Injection ที่เกิดขึ้นในโมดูลฟังก์ชันที่เข้าถึงผ่าน RFC (Remote Function Call) ของ SAP S/4HANA โดยผู้โจมตีแม้มีสิทธิ์ผู้ใช้ระดับต่ำก็สามารถแทรกโค้ด ABAP อันตรายเข้าสู่ระบบได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ การโจมตีที่สำเร็จอาจทำให้ผู้โจมตีควบคุมระบบ SAP ได้ทั้งหมด เช่น สร้างบัญชีผู้ใช้ระดับสูง แก้ไขข้อมูลธุรกิจ หรือแม้แต่ติดตั้งแรนซัมแวร์ได้
โดยทาง SAP ได้ออกแพตช์เพื่อแก้ไขช่องโหว่นี้ในการอัปเดต Security Patch Day เดือนสิงหาคม 2025 พร้อม SAP Security Note 3627998 สำหรับ S/4HANA และ Security Note 3633838 สำหรับ SAP Landscape Transformation (SLT)
แม้ว่าจะยังไม่มีรายงานการโจมตีในวงกว้าง แต่มีการตรวจพบกิจกรรมที่น่าสงสัยที่สอดคล้องกับการพยายามโจมตีช่องโหว่นี้. ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ผู้ดูแลระบบ SAP ดำเนินการอัปเดตแพตช์ที่เกี่ยวข้องทันที และตรวจสอบบันทึกการเข้าถึง (logs) สำหรับการเรียกใช้งาน RFC ที่ผิดปกติหรือการสร้างผู้ใช้ระดับผู้ดูแลระบบใหม่
รวมถึงพิจารณาการใช้เครื่องมือเสริม เช่น SAP UCON และการตั้งค่าความปลอดภัยเพิ่มเติม เพื่อเพิ่มความมั่นคงของระบบ