Una vulnerabilidad de seguridad crítica que afecta a SAP S/4HANA, un software de planificación de capital empresariales (ERP), ha sido objeto de una explotación activa en la naturaleza.
La vulnerabilidad de inyección de comando, rastreada como CVE-2025-42957 (SAP CVSS: 9.9) fue fijado por SAP como parte de sus actualizaciones mensuales el mes pasado.
“SAP S/4HANA permite que un atacante con privilegios de adjudicatario explote una vulnerabilidad en el módulo de función expuesto a través de RFC”, según una descripción de la defecto en la almohadilla de datos de vulnerabilidad doméstico (NVD) de NIST. “Esta defecto permite la inyección del código ABAP gratuito en el sistema, sin producirse por stop las verificaciones de autorización esenciales.
La exploración exitosa del defecto podría dar como resultado un compromiso completo del sistema del entorno SAP, subvirtiendo la confidencialidad, la integridad y la disponibilidad del sistema. En compendio, puede permitir a los atacantes modificar la almohadilla de datos de SAP, crear cuentas de superusuario con privilegios SAP_ALL, descargar hash de contraseña y alterar procesos comerciales.
SecurityBridge Amenazen Research Labs, en un alerta Emitido el jueves, dijo que ha observado la explotación activa de la defecto, afirmando que el problema impacta tanto en las ediciones de nubes en las instalaciones como privadas.
“La explotación requiere el paso solo a un adjudicatario privilegiado de bajo privilegio para comprometer completamente un sistema SAP”, dijo la compañía. “Se requiere un compromiso completo del sistema con un esfuerzo leve, donde la explotación exitosa puede conducir fácilmente a fraude, robo de datos, espionaje o la instalación de ransomware”.
Todavía señaló que si aceptablemente la explotación generalizada aún no se ha detectado, los actores de amenaza poseen el conocimiento para usarlo, y que la ingeniería inversa del parche para crear una exploit es “relativamente viable”.
Como resultado, se recomienda a las organizaciones que apliquen los parches lo antiguamente posible, monitoree los registros para las llamadas de RFC sospechosas o los nuevos usuarios administrativos, y garantice la segmentación y copias de seguridad adecuadas.
“Considere la implementación de SAP UCON para restringir el uso y revisión de RFC y restringir el paso al objeto de autorización S_DMIS Actividad 02”, dijo todavía.
