SAP โดน SQL Injection คะแนน 9.9 — บทเรียน Security ERP ปี 2569

CVE-2026-27681 คืออะไร? — ช่องโหว่ SQL Injection ระดับ 9.9

ช่องโหว่นี้อยู่ในโมดูล Business Planning and Consolidation (BPC) ซึ่งเป็นเครื่องมือวางแผนงบประมาณและรวมงบการเงินที่บริษัทขนาดใหญ่ทั่วโลกใช้กัน รวมถึงโมดูล Business Warehouse (BW) ที่เป็น Data Warehouse ของระบบ SAP

หลักการของช่องโหว่:

1. ABAP Program ที่ vulnerable เปิดให้ผู้ใช้งาน upload ไฟล์เพื่อ import ข้อมูล
2. ไฟล์ที่ upload สามารถมี arbitrary SQL statements ฝังอยู่
3. โปรแกรมส่ง SQL ตรงเข้า database โดยไม่ตรวจสอบ authorization ที่เพียงพอ
4. Attacker (สิทธิ์ผู้ใช้ทั่วไป) จึงสามารถสั่งให้ database read, modify, delete ข้อมูลใดก็ได้

Onapsis บริษัท Security ที่เชี่ยวชาญเรื่อง SAP รายงานว่า SAP แก้ปัญหาด้วยการ "deactivating the executable code responsible for the vulnerable upload behavior" นั่นคือ "ปิดโค้ดที่ทำงาน" แทนที่จะแก้ logic — สะท้อนว่าฟีเจอร์นี้น่าจะถูก rewrite ใหม่ในรุ่นถัดไป

รายละเอียด	ค่า
CVE ID	CVE-2026-27681
CVSS Score	9.9 / 10 (Critical)
วันที่เปิดเผย	8 เมษายน 2569 (SAP Patch Tuesday)
ผลิตภัณฑ์	SAP BPC 10.1, 11.0 + SAP BW
Database	Microsoft SQL Server
Network	เจาะผ่าน Network ได้
User Interaction	ไม่จำเป็น
SAP Note	3719353

SQL Injection ใน ERP — ภาพใหญ่ที่ทุกองค์กรควรรู้

SQL Injection ไม่ใช่ปัญหาใหม่ — OWASP จัดให้เป็น Top Risk มาตั้งแต่ปี 2003 แต่กลับยังโผล่ในระบบ ERP ระดับโลกอย่างต่อเนื่อง:

ปี	ระบบ ERP	CVE / ช่องโหว่	CVSS
2569	SAP BPC / BW	CVE-2026-27681	9.9
2569	Fortinet FortiClient EMS	CVE-2026-21643 (KEV)	9.1
2568	Oracle E-Business Suite	multiple	9.1+
2567	Microsoft Dynamics	multiple	8.1
2566	Workday	SQL injection report	7.5

บทเรียน: ERP ราคาแพงไม่ได้แปลว่าปลอดภัยกว่า ERP ราคากลาง — ทุกระบบมีโอกาสมีช่องโหว่ สิ่งสำคัญคือ วินัยในการ Patch Management และการออกแบบ Authorization ที่ถูกต้อง

ตัวอย่าง SQL Injection แบบง่าย ๆ

กรณี ERP ที่เขียน Query โดยใช้ String Concatenation:

// ผิด — ช่องโหว่ SQL Injection
String sql = "SELECT * FROM invoice WHERE customer_id = '" + userInput + "'";
Statement stmt = conn.createStatement();
ResultSet rs = stmt.executeQuery(sql);

// ถูก — ใช้ Prepared Statement (parameterized query)
String sql = "SELECT * FROM invoice WHERE customer_id = ?";
PreparedStatement stmt = conn.prepareStatement(sql);
stmt.setString(1, userInput);
ResultSet rs = stmt.executeQuery();

ในกรณี SAP CVE-2026-27681 ปัญหาไม่ได้อยู่ที่ Query แต่อยู่ที่ file upload + ABAP code ที่อ่าน SQL จากไฟล์ไปรันโดยไม่ตรวจสอบ authorization ซึ่งเป็นการออกแบบที่ผิดตั้งแต่ต้น

ผลกระทบกับองค์กรไทยที่ใช้ SAP

หลายองค์กรขนาดใหญ่ในไทย — ทั้งบริษัทมหาชน ธนาคาร และรัฐวิสาหกิจ — ใช้ SAP เป็น ERP หลัก ผลกระทบที่อาจเกิดขึ้นมีหลายระดับ:

ความเสี่ยง	ผลกระทบที่อาจเกิดขึ้น
ขโมยงบการเงิน	ผู้บุกรุกอ่าน Consolidation Report ของบริษัทแม่ + บริษัทลูกได้ก่อนเปิดเผยตลาด
แก้ไข Forecast / Budget	เปลี่ยนข้อมูลแผนงบประมาณ → ส่งผลต่อการตัดสินใจของผู้บริหาร
ลบข้อมูล	ทำลาย Audit Trail → ผิด พ.ร.บ. การบัญชี / SOX / SET กฎเกณฑ์
Compliance Violation	PDPA, ISO 27001, SOC 2 อาจถูกตั้งคำถามทันที
Reputation	ราคาหุ้นกระทบทันทีหากตลาดรับรู้

มาตรการป้องกัน — สิ่งที่ทุกทีม IT ต้องทำวันนี้

1. Patch ทันที — ติดตั้ง SAP Note 3719353 ภายใน 24-72 ชั่วโมงตามนโยบายขององค์กร
2. ตรวจ Audit Log — ค้นหากิจกรรม upload ที่ผิดปกติย้อนหลังอย่างน้อย 90 วัน
3. ทบทวน Authorization — ลด privilege ของ user ที่ไม่ควรมีสิทธิ์ upload
4. เปิด 2FA สำหรับ admin user ทุกคน
5. Network Segmentation — แยก SAP ออกจาก network ทั่วไป จำกัด access เฉพาะ VPN/Bastion
6. Security Awareness — แจ้งทีม Finance/Accounting ว่ามีคำขอ upload แปลก ๆ ต้องไม่ทำตาม

Saeree ERP ป้องกัน SQL Injection อย่างไร

Saeree ERP ออกแบบมาภายใต้แนวคิด Security by Design ตั้งแต่ต้น โดยใช้แนวทางเดียวกับที่ป้องกัน SAP ได้:

มาตรการ	รายละเอียด
Prepared Statement	ทุก Query ใช้ parameterized query — ไม่มี string concatenation
ORM Layer	Java + Hibernate ป้องกัน SQL injection ตั้งแต่ระดับ framework
Input Validation	ตรวจสอบ data type, length, encoding ก่อนเข้า business logic
Authorization Matrix	ตรวจสิทธิ์ทุก request ที่ระดับ API + Service layer
Audit Log	บันทึกทุก data modification พร้อม user, IP, timestamp
2FA	บังคับใช้กับ admin / approver / financial role
SSL A+ Rating	เข้ารหัสการสื่อสารระดับสูงสุด (TLS 1.3)
On-premise Option	องค์กรเลือก Deploy ในศูนย์ข้อมูลของตนเองได้ — แยก attack surface ออกจาก Internet

สรุป — บทเรียนจาก CVE-2026-27681

บทเรียน	สิ่งที่ต้องทำ
ERP ระดับโลกยังเจอ SQL Injection	อย่าคิดว่า "ใช้ SAP / Oracle = ปลอดภัย" — ทุกระบบต้องการ Patch Management
Authorization สำคัญกว่า Authentication	User ที่ login ได้ ไม่ได้แปลว่าควรทำอะไรก็ได้ — ต้องตรวจสิทธิ์ทุก action
Patch Tuesday เป็นวินัยขั้นต่ำ	มี SLA ชัดเจน: Critical patch ต้อง deploy ภายใน 72 ชั่วโมง
เลือก Vendor ที่ Transparent	SAP เปิดเผย CVE + Note ตามมาตรฐาน — Vendor ที่ปกปิดน่ากังวลกว่ามาก
Defense in Depth	Application security + Network + Authorization + Audit ต้องครบทั้งหมด

"ช่องโหว่คะแนน 9.9 ใน SAP ไม่ได้หมายความว่า SAP แย่ — แต่หมายความว่า ERP ทุกตัวต้องการ Patch Management และ Authorization Design ที่เคร่งครัด ความปลอดภัยไม่ใช่ฟีเจอร์ที่ติ๊กถูก แต่เป็นกระบวนการที่ทำต่อเนื่อง"

- ทีมงาน Saeree ERP

หากองค์กรของคุณต้องการ ERP ที่ออกแบบบนแนวคิด Security by Design พร้อมรองรับการเชื่อมต่อ GFMIS, ปีงบประมาณ พ.ศ., ภาษีไทย และมีทีมไทยดูแลอย่างต่อเนื่อง — ติดต่อทีมงาน Saeree ERP เพื่อรับคำปรึกษาฟรี

แหล่งอ้างอิง

• NVD — CVE-2026-27681 Detail
• The Hacker News — April Patch Tuesday Fixes Critical Flaws
• ZeroBot — SAP April 2026 Patch Day Tackles 9.9 ABAP SQL Injection
• CCB Belgium — Critical SQL Injection Vulnerability in SAP Products
• SAP Expert — Urgent: Patch CVE-2026-27681 in SAP BPC (Note 3719353)