Una vulnerabilidad de seguridad crítica que afecta a SAP S/4HANA, un software de planificación de recursos empresariales (ERP), ha sido objeto de explotación activa en la naturaleza.
La vulnerabilidad de inyección de comandos, rastreada como CVE-2025-42957 (puntuación CVSS: 9.9), fue corregida por SAP como parte de sus actualizaciones mensuales el mes pasado.
¿Que hace la vulnerabilidad?
"SAP S/4HANA permite a un atacante con privilegios de usuario explotar una vulnerabilidad en el módulo de funciones expuesto a través de RFC", según una descripción de la falla en la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST. "Esta falla permite la inyección de código ABAP arbitrario en el sistema, evitando las verificaciones de autorización esenciales.
La exploración exitosa del defecto podría resultar en un compromiso total del sistema del entorno SAP, subvirtiendo la confidencialidad, integridad y disponibilidad del sistema. En resumen, puede permitir a los atacantes modificar la base de datos de SAP, crear cuentas de superusuario con privilegios de SAP_ALL, descargar hashes de contraseñas y alterar los procesos comerciales.
Explotación en la naturaleza
SecurityBridge Threat Research Labs, en una alerta emitida el jueves, dijo que ha observado una explotación activa de la falla, afirmando que el problema afecta tanto a las ediciones locales como a las de nube privada.
"La explotación requiere acceso solo a un usuario con pocos privilegios para comprometer completamente un sistema SAP", dijo la compañía. "Un compromiso completo del sistema con un esfuerzo mínimo requerido, donde la explotación exitosa puede conducir fácilmente al fraude, el robo de datos, el espionaje o la instalación de ransomware".
También señaló que, si bien aún no se ha detectado una explotación generalizada, los actores de amenazas poseen el conocimiento para usarla, y que la ingeniería inversa del parche para crear un exploit es "relativamente fácil".
Como resultado, se recomienda a las organizaciones que apliquen los parches lo antes posible, monitoreen los registros en busca de llamadas RFC sospechosas o nuevos usuarios administradores, y se aseguren de que se implementen la segmentación y las copias de seguridad adecuadas.
"Considere implementar SAP UCON para restringir el uso de RFC y revisar y restringir el acceso al objeto de autorización S_DMIS la actividad 02", también dijo.
