Una vulnerabilidad de seguridad crítica que afecta a SAP S/4HANA, un software de planificación de recursos empresariales (ERP), ha sido objeto de una explotación activa en la naturaleza.
La vulnerabilidad de inyección de comando, rastreada como CVE-2025-42957 (SAP CVSS: 9.9) fue fijado por SAP como parte de sus actualizaciones mensuales el mes pasado.
«SAP S/4HANA permite que un atacante con privilegios de usuario explote una vulnerabilidad en el módulo de función expuesto a través de RFC», según una descripción de la falla en la base de datos de vulnerabilidad nacional (NVD) de NIST. «Esta falla permite la inyección del código ABAP arbitrario en el sistema, sin pasar por alto las verificaciones de autorización esenciales.
La exploración exitosa del defecto podría dar como resultado un compromiso completo del sistema del entorno SAP, subvirtiendo la confidencialidad, la integridad y la disponibilidad del sistema. En resumen, puede permitir a los atacantes modificar la base de datos de SAP, crear cuentas de superusuario con privilegios SAP_ALL, descargar hash de contraseña y alterar procesos comerciales.
SecurityBridge Amenazen Research Labs, en un alerta Emitido el jueves, dijo que ha observado la explotación activa de la falla, afirmando que el problema impacta tanto en las ediciones de nubes en las instalaciones como privadas.
«La explotación requiere el acceso solo a un usuario privilegiado de bajo privilegio para comprometer completamente un sistema SAP», dijo la compañía. «Se requiere un compromiso completo del sistema con un esfuerzo mínimo, donde la explotación exitosa puede conducir fácilmente a fraude, robo de datos, espionaje o la instalación de ransomware».
También señaló que si bien la explotación generalizada aún no se ha detectado, los actores de amenaza poseen el conocimiento para usarlo, y que la ingeniería inversa del parche para crear una exploit es «relativamente fácil».
Como resultado, se recomienda a las organizaciones que apliquen los parches lo antes posible, monitoree los registros para las llamadas de RFC sospechosas o los nuevos usuarios administrativos, y garantice la segmentación y copias de seguridad adecuadas.
«Considere la implementación de SAP UCON para restringir el uso y revisión de RFC y restringir el acceso al objeto de autorización S_DMIS Actividad 02», dijo también.
Fuente