- 19
- มีนาคม
ทุกวันอังคารที่สองของเดือน SAP จะออก "Security Patch Day" — รายการช่องโหว่ที่ค้นพบและการแก้ไข สำหรับเดือนมีนาคม 2569 นี้ถือว่า หนักเป็นพิเศษ เพราะมีช่องโหว่ระดับ Critical (CVSS 9.8) ในระบบ SAP NetWeaver Enterprise Portal ที่หน่วยงานและองค์กรขนาดใหญ่ใช้งานอยู่ทั่วโลก
CVSS 9.8 หมายความว่าอะไร? ในระดับความเสี่ยง 0-10 คะแนน 9.8 คือสูงสุดในทางปฏิบัติ — หมายถึงผู้โจมตีสามารถเจาะระบบได้จากระยะไกล โดยไม่ต้องล็อกอิน ไม่ต้องมีสิทธิ์ใดๆ และไม่ต้องให้ผู้ใช้คลิกอะไร
ถ้าองค์กรคุณใช้ SAP และยังไม่ได้แพตช์ — ระบบ ERP กำลังเปิดรับการโจมตีอยู่ขณะนี้
สรุปภัยคุกคามเดือนมีนาคม 2569:
- Security Notes ทั้งหมด: 15 รายการ
- ระดับ Critical (CVSS 9.0+): 2 รายการ
- ระดับ High (CVSS 7.0-8.9): 5 รายการ
- ระบบที่ได้รับผลกระทบหลัก: SAP NetWeaver Enterprise Portal, SAP Quotation Management Insurance
- ความเสี่ยง: Remote Code Execution โดยไม่ต้องยืนยันตัวตน
ช่องโหว่วิกฤต #1 — SAP NetWeaver Enterprise Portal (CVSS 9.8)
ช่องโหว่นี้อยู่ในส่วน Knowledge Management ของ SAP NetWeaver Enterprise Portal เปิดให้ผู้โจมตีสามารถ:
- อัปโหลดไฟล์อันตราย (Malicious File Upload) โดยไม่ต้องยืนยันตัวตน
- รันโค้ดบนเซิร์ฟเวอร์ (Remote Code Execution) ได้จากระยะไกล
- เข้าถึงข้อมูลทุกอย่าง บนระบบ SAP — รวมถึงข้อมูลการเงิน HR และการจัดซื้อ
SAP NetWeaver Enterprise Portal ใช้โดยองค์กรขนาดใหญ่เป็น ประตูหน้า (Portal) สำหรับ login เข้าระบบ SAP ต่างๆ ถ้าช่องโหว่นี้ถูกใช้ประโยชน์ ผู้โจมตีจะได้ access ระดับสูงสุดในทันที
| รายละเอียด | ข้อมูล |
|---|---|
| CVE Number | CVE-2026-24523 |
| CVSS Score | 9.8 Critical |
| ระบบที่ได้รับผลกระทบ | SAP NetWeaver Enterprise Portal 7.50, 7.40 |
| ประเภทช่องโหว่ | Unrestricted File Upload → Remote Code Execution |
| ต้องการการยืนยันตัวตน? | ไม่ต้อง (Unauthenticated) |
| SAP Security Note | 3548234 |
ช่องโหว่วิกฤต #2 — SAP Quotation Management Insurance (CVSS 9.1)
ช่องโหว่ที่สองอยู่ใน SAP Quotation Management Insurance ซึ่งใช้กันในกลุ่มบริษัทประกันและสถาบันการเงิน:
- SQL Injection ระดับวิกฤต — ผู้โจมตีสามารถ query ข้อมูลทั้งหมดออกจาก database ได้
- แก้ไขข้อมูลได้ — เปลี่ยนตัวเลขในระบบโดยไม่ทิ้งร่องรอย (ถ้าไม่มี Audit Log)
- ลบข้อมูลได้ — ทำลายข้อมูลย้อนหลังทั้งหมดได้
ช่องโหว่ระดับ High ที่น่าสนใจ (CVSS 7.0-8.9)
| ระบบ | CVSS | ประเภท | ผลกระทบ |
|---|---|---|---|
| SAP S/4HANA Finance | 8.8 | Privilege Escalation | ผู้ใช้ทั่วไปยกระดับสิทธิ์เป็น Admin ได้ |
| SAP Business One | 8.1 | Directory Traversal | อ่านไฟล์บน server ได้โดยไม่ได้รับอนุญาต |
| SAP GUI for Windows | 7.3 | DLL Hijacking | ติดตั้ง malware ผ่าน SAP GUI ได้ |
| SAP HANA Database | 7.1 | Information Disclosure | เปิดเผย credentials ใน error message |
| SAP Enable Now | 7.0 | Cross-Site Scripting (XSS) | ขโมย session token ผู้ใช้งาน |
ประวัติ SAP Patch Day — ทำไมเกิดซ้ำๆ ทุกปี?
SAP ออก Security Patch ทุกเดือนมาหลายปีแล้ว และในแต่ละปีมักจะพบช่องโหว่ระดับ Critical อย่างน้อย 2-3 ครั้ง นี่สะท้อนถึง ปัญหาเชิงโครงสร้างของระบบ Legacy ERP ขนาดใหญ่ ที่มี codebase ขนาดมหาศาลและยากต่อการตรวจสอบทุก line ของโค้ด
ปัญหาหลักของ SAP ที่ทำให้ช่องโหว่เกิดซ้ำๆ:
- Codebase อายุ 50+ ปี — บางส่วนเขียนด้วย ABAP ตั้งแต่ยุค 1970s ยากต่อการ audit ด้าน security
- โมดูลจำนวนมาก — SAP มีโมดูลหลายร้อยตัว แต่ละตัวเขียนโดยทีมต่างกัน standard security ไม่สม่ำเสมอ
- Customization สูง — องค์กรแต่ละแห่ง custom code เพิ่มเอง ทำให้ช่องโหว่ใหม่เกิดได้เสมอ
- Third-party integrations — SAP เชื่อมกับระบบอื่นมากมาย แต่ละ integration คือ attack surface ใหม่
องค์กรที่ใช้ SAP ต้องทำอะไรทันที?
ถ้าองค์กรคุณใช้ SAP NetWeaver หรือ SAP Business Suite มีขั้นตอนที่ต้องทำโดยเร็วที่สุด:
| ลำดับ | การดำเนินการ | ความเร่งด่วน |
|---|---|---|
| 1 | ตรวจสอบ SAP version ที่ใช้งาน — เทียบกับรายการ affected versions | วันนี้ |
| 2 | ดาวน์โหลด SAP Note 3548234 และ apply patch บน SAP NetWeaver Portal | ภายใน 24-48 ชั่วโมง |
| 3 | ตรวจ log การเข้าถึง SAP NetWeaver Portal ย้อนหลัง 30 วัน | ภายใน 3 วัน |
| 4 | Apply Security Notes ระดับ High ทุกรายการ (5 รายการ) | ภายใน 1 สัปดาห์ |
| 5 | รัน SAP Security Audit (transaction SM20) ตรวจหาพฤติกรรมผิดปกติ | ภายใน 2 สัปดาห์ |
บทเรียนสำหรับองค์กรที่กำลังเลือก ERP — Security ต้องมาก่อน
เหตุการณ์นี้เป็นตัวอย่างที่ดีว่า การเลือก ERP ไม่ใช่แค่เรื่องฟีเจอร์และราคา — แต่ต้องพิจารณา Security Architecture และ Patch Management Policy ของ vendor ด้วย
สิ่งที่ควรถามก่อนเลือก ERP:
- Vendor มีนโยบาย Security Patch ที่ชัดเจน และออก patch บ่อยแค่ไหน?
- เมื่อพบช่องโหว่วิกฤต แจ้งลูกค้าเร็วแค่ไหน?
- กระบวนการ ติดตั้ง patch ทำได้เองหรือต้องรอ vendor?
- ระบบมี Audit Trail ครบถ้วน ตรวจสอบย้อนหลังได้ไหม?
- ถ้าถูกโจมตีแล้ว มีแผน Incident Response อย่างไร?
เปรียบเทียบ: SAP vs ERP ที่เหมาะกับหน่วยงานไทย
| ด้าน | SAP ECC/S4HANA | Saeree ERP |
|---|---|---|
| Security Patch | ต้องรอ SAP Patch Day ทุกเดือน — มักช้า 30-90 วัน | ออก patch ฉุกเฉินได้ทันที ไม่ต้องรอรอบ |
| Codebase | Legacy ABAP 50+ ปี ยากต่อ security audit | Modern stack (Java/PostgreSQL) ออกแบบด้าน security ตั้งแต่ต้น |
| ต้นทุนการ patch | ต้องการ SAP Basis ผู้เชี่ยวชาญ ค่าใช้จ่ายสูง | ทีม Grand Linux รับผิดชอบ — รวมอยู่ใน support contract |
| Audit Trail | ต้อง configure เพิ่ม — ไม่ได้เปิดใช้ค่า default | บันทึกทุก transaction ตั้งแต่ติดตั้ง — ไม่ต้อง config |
| Vendor Support (ภาษาไทย) | ผ่าน partner ไทย — response time ช้า | ทีมคนไทย สื่อสารตรง response ภายใน 4 ชั่วโมง |
| ราคา | License + Maintenance + Implementation: หลายสิบล้านบาท | เหมาะกับงบภาครัฐและ SME — ไม่มีค่า license รายปีแพง |
"ช่องโหว่ใน ERP ที่ CVSS 9.8 ไม่ใช่แค่ปัญหา IT — มันคือความเสี่ยงที่ข้อมูลทางการเงิน HR และการจัดซื้อทั้งองค์กรถูกขโมยได้ในคืนเดียว"
— ทีม Security, Grand Linux Solution
ระบบ ERP ของคุณปลอดภัยพอไหม?
Saeree ERP สร้างบน Modern Stack ที่ออกแบบมาพร้อม Security ตั้งแต่วันแรก — ไม่ใช่แพตช์ทับโค้ดอายุ 50 ปี
ขอ Demo ฟรีโทร 02-347-7730 | sale@grandlinux.com
แหล่งอ้างอิง
- ERP Today. "SAP Security Patch Day March 2026." erp.today
- SAP Security. "SAP Security Notes March 2026 — Overview." support.sap.com
- SecurityWeek. "SAP Patches Critical Vulnerabilities in NetWeaver Portal." 2026.
- NIST NVD. "CVE-2026-24523 Detail." nvd.nist.gov
