Mở đầu: Lỗ hổng SAP NetWeaver (CVE-2025-31324) - Mối đe dọa từ APT Trung Quốc
Gần đây, cộng đồng an ninh mạng đang đặc biệt chú ý đến CVE-2025-31324 – một lỗ hổng nghiêm trọng trong SAP NetWeaver, hiện đang bị các nhóm tác chiến mạng tiên tiến (APT) liên kết với Trung Quốc khai thác triệt để. Lỗ hổng này cho phép kẻ tấn công chưa xác thực tải lên các tệp tùy ý, dẫn đến thực thi mã từ xa (RCE) và chiếm đoạt hoàn toàn hệ thống SAP. Mức độ nghiêm trọng của CVE này được đánh giá là rất cao, đòi hỏi các tổ chức sử dụng SAP NetWeaver cần hành động khẩn cấp để bảo vệ hạ tầng của mình [1, 2, 3].
/cf747caf-97ed-4658-956a-32fcf08f6c24.png%3Fauto=format%252Ccompress&ixlib=php-3.3.1)
Chi tiết kỹ thuật về CVE-2025-31324
CVE-2025-31324 là một lỗ hổng tải lên tệp không xác thực nghiêm trọng (unauthenticated file upload vulnerability) ảnh hưởng đến thành phần Visual Composer (VCFRAMEWORK) của SAP NetWeaver Application Server Java. Thành phần này phổ biến trong nhiều triển khai SAP, được sử dụng để xây dựng ứng dụng mà không cần mã hóa [1, 3].
- Thành phần bị ảnh hưởng: SAP NetWeaver Application Server Java (Visual Composer – VCFRAMEWORK).
- Cơ chế khai thác: Lỗ hổng nằm ở endpoint
/developmentserver/metadatauploader, nơi không có kiểm tra quyền truy cập phù hợp. Điều này cho phép bất kỳ người dùng nào, dù chưa được xác thực, cũng có thể truy cập và tải lên các tệp tùy ý thông qua giao thức HTTP/HTTPS [1, 3, 4, 5]. - Kịch bản khai thác điển hình:
- Kẻ tấn công gửi một yêu cầu HTTP chứa tệp độc hại (ví dụ: một web shell JSP) đến endpoint
/developmentserver/metadatauploader. - Tệp độc hại này được ghi vào thư mục máy chủ web (chẳng hạn như
/irj/servlet_jsp/irj/root/). - Sau đó, kẻ tấn công có thể truy cập tệp này qua trình duyệt để thực thi nó trực tiếp với quyền hệ thống của SAP (thường là tài khoản
sidadm) [1, 3]. - Hậu quả là kẻ tấn công có thể kiểm soát hoàn toàn hệ thống, leo thang đặc quyền, di chuyển ngang trong mạng, đánh cắp dữ liệu, phá hoại hoặc duy trì quyền truy cập dai dẳng [1, 3, 2].
- Kẻ tấn công gửi một yêu cầu HTTP chứa tệp độc hại (ví dụ: một web shell JSP) đến endpoint
Khai thác bởi các nhóm APT liên kết với Trung Quốc
Các nhóm APT liên kết với Trung Quốc đã nhanh chóng tận dụng CVE-2025-31324 để tấn công quy mô lớn, đặc biệt nhắm vào các hạ tầng trọng yếu. Các tác nhân được ghi nhận bao gồm UNC5221, UNC5174, và CL-STA-0048, được cho là có liên hệ với Bộ An ninh Quốc gia Trung Quốc (MSS) hoặc các đơn vị được thuê ngoài [2].
- Cách thức hoạt động:
- Sử dụng các công cụ quét diện rộng (ví dụ: Nuclei) để phát hiện các hệ thống SAP NetWeaver có endpoint
/metadatauploaderbị phơi nhiễm [2]. - Tự động tải lên web shell để giành quyền kiểm soát hệ thống từ xa, sau đó mở rộng xâm nhập vào mạng của các tổ chức mục tiêu. Các chiến dịch này đặc biệt nhắm vào hạ tầng trọng yếu [2].
- Đã có báo cáo ghi nhận 581 hệ thống bị cài đặt backdoor, cùng với tài liệu bằng tiếng Trung cho thấy danh sách sẵn 1.800 tên miền SAP để phục vụ cho các chiến dịch tấn công tiếp theo [2].
- Sử dụng các công cụ quét diện rộng (ví dụ: Nuclei) để phát hiện các hệ thống SAP NetWeaver có endpoint
- Hậu khai thác: Sau khi xâm nhập thành công, các nhóm này thường thực hiện trinh sát, mở rộng đặc quyền, đánh cắp dữ liệu và thiết lập các backdoor để duy trì quyền truy cập lâu dài [2, 3].
Biện pháp giảm thiểu từ các nhà cung cấp và chuyên gia an ninh
Các nhà cung cấp và chuyên gia an ninh đã đưa ra nhiều khuyến nghị để giảm thiểu rủi ro từ CVE-2025-31324. Việc áp dụng các biện pháp này là tối quan trọng để bảo vệ hệ thống SAP của bạn.
| Đơn vị | Biện pháp giảm thiểu đề xuất |
|---|---|
| SAP | - Đã phát hành bản vá khẩn cấp (out-of-band patch). Yêu cầu cập nhật ngay lập tức cho tất cả các hệ thống có cài đặt Visual Composer [4]. - Cập nhật thêm bản vá bổ sung vào ngày 13/5/2025 để giải quyết các lỗ hổng liên đới khác [4]. - Kiểm tra log và rà soát các dấu hiệu tải lên trái phép tại /developmentserver/metadatauploader hoặc sự xuất hiện của các tệp lạ trong thư mục web [4]. |
| Onapsis | - Nhấn mạnh sự cần thiết phải áp dụng ngay lập tức bản vá của SAP [5]. - Đề xuất tạm thời tắt endpoint /developmentserver/metadatauploader trên các hệ thống chưa thể vá ngay lập tức [5]. - Thực hiện quét, kiểm tra tài khoản, web shell và các hoạt động bất thường khác trên máy chủ SAP [5]. |
| Trend Micro | - Khuyến nghị cập nhật bản vá càng sớm càng tốt [3]. - Triển khai kiểm soát truy cập mạng (Network Access Control) để hạn chế truy cập từ internet đến các endpoint nguy hiểm [3]. - Theo dõi các hoạt động tải tệp và thực thi bất thường trên SAP NetWeaver [3]. |
| Rapid7 | - Đánh giá lỗ hổng ở mức độ nguy hiểm cực cao (CVSS 10.0/10) và ưu tiên vá ngay lập tức. Đã đưa thông tin này vào hệ thống cảnh báo sớm [4]. - Cập nhật các công cụ phát hiện/đánh giá lỗ hổng để cảnh báo về sự tồn tại của CVE này trên hệ thống khách hàng [4]. |
| Unit 42 (Palo Alto Networks) | - Tập trung cảnh báo cộng đồng, mô tả kỹ thuật chi tiết chuỗi tấn công. Khuyến khích các doanh nghiệp bổ sung kiểm soát truy cập, tiến hành điều tra sớm và ưu tiên vá lỗi [1]. |
Các biện pháp phòng thủ bổ sung:
- Cô lập hệ thống SAP: Nếu có thể, hãy cô lập các hệ thống SAP khỏi internet để giảm bề mặt tấn công.
- Theo dõi IOC (Indicators of Compromise): Thường xuyên kiểm tra log tải tệp, tìm kiếm các tệp lạ trong thư mục web, và phát hiện truy cập bất thường vào
/developmentserver/metadatauploader[1, 3, 5]. - Tăng cường kiểm soát danh tính và quyền truy cập: Áp dụng các chính sách kiểm soát truy cập nghiêm ngặt cho các hệ thống quan trọng.
- Kiểm tra hệ thống backup: Đảm bảo hệ thống backup hoạt động hiệu quả và có kế hoạch phục hồi chi tiết trong trường hợp bị xâm nhập.
Kết luận
Lỗ hổng CVE-2025-31324 là một mối đe dọa nghiêm trọng đối với các tổ chức sử dụng SAP NetWeaver. Khả năng cho phép chiếm quyền điều khiển hệ thống từ xa chỉ với một yêu cầu HTTP không xác thực, cùng với việc bị các nhóm APT Trung Quốc khai thác trên quy mô lớn, đặt ra yêu cầu cấp bách về việc vá lỗi và tăng cường bảo mật. Việc ưu tiên vá lỗi theo hướng dẫn của SAP, kết hợp với giám sát và kiểm soát chặt chẽ các endpoint liên quan, là những bước đi hàng đầu để bảo vệ hệ thống của bạn [1, 2, 3, 4, 5].
Nguồn tham khảo:
[1] Unit 42 (Palo Alto Networks). “Threat Brief: CVE-2025-31324 (Updated June 25)”. https://unit42.paloaltonetworks.com/threat-brief-sap-netweaver-cve-2025-31324/ [2] EclecticIQ. “China-Nexus Nation State Actors Exploit SAP NetWeaver (CVE-2025-31324) to Target Critical Infrastructures”. https://blog.eclecticiq.com/china-nexus-nation-state-actors-exploit-sap-netweaver-cve-2025-31324-to-target-critical-infrastructures [3] Trend Micro. “Critical SAP Vulnerability Exposes Enterprises | Trend Micro (US)”. https://www.trendmicro.com/en_us/research/25/f/sap-vulnerability-fix.html [4] Rapid7. “Active Exploitation of SAP NetWeaver Visual Composer CVE-2025-31324”. https://www.rapid7.com/blog/post/2025/04/28/etr-active-exploitation-of-sap-netweaver-visual-composer-cve-2025-31324/ [5] Onapsis. “CVE-2025-31324 SAP Zero-Day Vulnerability | Full Threat Brief”. https://onapsis.com/blog/active-exploitation-of-sap-vulnerability-cve-2025-31324/