影響SAP S/4HANA系統的重大安全漏洞CVE-2025-42957已出現實際攻擊案例,該漏洞可能導致企業核心業務系統完全失控。資安專家呼籲所有使用相關SAP產品的企業應立即採取修補措施。
漏洞詳情與威脅等級
CVE-2025-42957是一個ABAP程式碼注入漏洞,ABAP是SAP系統的專用程式語言,全名為Advanced Business Application Programming。該漏洞存在於SAP S/4HANA的遠端功能呼叫模組中。該漏洞獲得CVSS 9.9分的極高風險評級,攻擊者僅需低權限認證用戶身分,就能注入任意程式碼、繞過授權機制,進而完全控制SAP系統。
德國資安公司SecurityBridge於2025年6月27日發現並向SAP回報此漏洞,SAP已於8月11日釋出修補程式。然而,由於ABAP程式碼的開放特性,具備相關技能的威脅行為者能夠輕易逆向工程修補程式並開發出攻擊程式。
實際攻擊活動確認
SecurityBridge和美國丹佛的資安廠商Pathlock均證實該漏洞已遭到實際攻擊利用。Pathlock的SAP資安分析師Jonathan Stross表示,在修補程式釋出後,相關的攻擊活動「急劇增加」。SecurityBridge在其報告中明確指出,雖然尚未出現大規模攻擊,但已驗證此漏洞確實遭到濫用,這意味著攻擊者已經掌握利用方式,使得未修補的SAP系統面臨嚴重威脅。
荷蘭國家網路安全中心(NCSC-NL)也在9月5日發布安全警告,確認CVE-2025-42957已有攻擊實例,並將此威脅列為中高優先級。該機構呼籲組織採取行動保護系統。
攻擊手法與潛在危害
攻擊者只需要一個有效用戶帳戶,就能透過遠端功能呼叫(RFC)來利用該漏洞。成功攻擊後,駭客可以獲得SAP系統管理員權限,並能直接在SAP資料庫中操作或刪除企業資料。更危險的是,攻擊者可以創建具有管理員權限的持久性後門帳戶,竊取包括密碼雜湊值在內的敏感資料,甚至透過控制主機作業系統部署惡意軟體或勒索軟體。
受影響產品版本
- S/4HANA (私有雲或地端):S4CORE版本102, 103, 104, 105, 106, 107, 108
- Landscape Transformation (分析平台):DMIS版本2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020
- Business One (SLD):B1_ON_HANA 10.0和SAP-M-BO 10.0
- NetWeaver Application Server ABAP:多個版本
Keeper Security資安長Shane Barney將此漏洞形容為「教科書級別的範例」,說明為何不受信任的輸入絕不應被允許決定程式碼的執行方式。Barney進一步解釋,
這類漏洞的核心問題在於系統允許外部輸入直接影響程式邏輯的執行流程,一旦動態程式碼執行機制被啟用,攻擊者就能將微小的入侵點轉化為完整的系統滲透。
他建議組織應該完全避免動態程式碼執行,或至少嚴格限制允許執行的指令範圍。Barney也強調,企業必須深入了解應用程式的設計運作模式,才能有效偵測並阻止攻擊行為擴散。這種深層理解應用程式對於早期發現異常活動並遏制攻擊至關重要。
緊急應對建議
企業應立即採取以下行動:
- 立即更新:套用SAP 2025年8月安全更新,特別是Note 3627998 (S/4HANA)和Note 3633838 (SAP Landscape Transformation)
- 實施UCON框架:使用SAP統一連接框架限制RFC使用
- 強化監控:監控日誌中的可疑RFC呼叫和新建立的管理員帳戶
- 權限管控:嚴格限制動態程式碼執行的指令範圍
有鑑於SAP S/4HANA在企業財務、供應鏈等關鍵業務流程中的核心地位,此漏洞的成功利用可能對企業造成嚴重的財務和營運損失。所有使用相關SAP產品的企業應將此次修補視為最高優先級任務。