Una vulnerabilidad crítica, identificada como CVE-2025-42957, está siendo activamente explotada en los sistemas SAP S/4HANA. Esta falla permite que atacantes con acceso de usuario de bajo nivel obtengan control total sobre los sistemas afectados. Con una puntuación CVSS de 9.9, la amenaza se considera grave e inminente para todas las versiones de S/4HANA, ya sean instaladas localmente o en nubes privadas.
Investigadores de SecurityBridge Threat Research Labs descubrieron la vulnerabilidad y confirmaron que actores maliciosos ya la están utilizando. SAP emitió un parche el 11 de agosto de 2025 y los expertos en seguridad instan a todos los clientes a aplicarlo de inmediato.
La exitosa explotación de esta vulnerabilidad, que se trata de una inyección de código ABAP, otorga al atacante privilegios administrativos completos. Esto les permite acceder al sistema operativo subyacente y controlar todos los datos dentro del sistema SAP.
Las consecuencias son graves, incluyendo el robo de información confidencial, fraude financiero, espionaje o la implementación de ransomware. Un atacante podría eliminar o insertar datos en la base de datos, crear nuevas cuentas de administrador con privilegios elevados, descargar hashes de contraseñas y modificar procesos comerciales clave con poco esfuerzo.
La peligrosidad de CVE-2025-42957 radica en su baja complejidad de ataque. Un atacante solo necesita acceso a una cuenta de usuario de bajo privilegio (obtenida mediante phishing o métodos similares) para explotar la falla a través de la red, sin necesidad de interacción del usuario. Así, escalan privilegios hasta lograr el compromiso total del sistema.
SecurityBridge, que notificó a SAP el 27 de junio de 2025, advierte que los sistemas sin parche están en riesgo inmediato. La naturaleza abierta del código ABAP de SAP facilita que atacantes con experiencia hagan ingeniería inversa del parche para crear exploits.
Medidas de Mitigación Recomendadas
Para proteger sus sistemas, las organizaciones deben seguir estas pautas:
- Aplicar parches de inmediato: Es crucial instalar sin demora las actualizaciones de seguridad de SAP de agosto de 2025, específicamente las notas 3627998 y 3633838.
- Revisar el acceso: Limitar el acceso al objeto de autorización S_DMIS y considerar el uso de SAP UCON para restringir el uso de RFC.
- Monitorear registros del sistema: Revisar de forma proactiva las llamadas RFC sospechosas, la creación de nuevos usuarios con altos privilegios o cualquier cambio inesperado en el código ABAP.
- Fortalecer las defensas: Implementar una sólida segmentación del sistema, realizar copias de seguridad de forma regular y utilizar soluciones de monitoreo de seguridad específicas para SAP.
