Una vulnerabilidad de seguridad crítica que afecta a SAP S/4HANA, un software de planificación de recursos empresariales (ERP), ha sido explotada activamente en estado salvaje.
La vulnerabilidad de inyección de comandos, rastreada como CVE-2025-42957 (puntuación CVSS: 9,9), fue fijada por SAP como parte de sus actualizaciones mensuales del mes pasado.
«SAP S/4HANA permite a un atacante con privilegios de usuario aprovechar una vulnerabilidad en el módulo de funciones expuesta a través de RFC», según una descripción de la falla en la base de datos nacional de vulnerabilidades (NVD) del NIST. «Esta falla permite inyectar código ABAP arbitrario en el sistema, eludiendo las comprobaciones de autorización esenciales.
La exploración exitosa del defecto podría resultar en un compromiso total del sistema para el entorno SAP, lo que socavaría la confidencialidad, la integridad y la disponibilidad del sistema. En resumen, puede permitir a los atacantes modificar la base de datos de SAP, crear cuentas de superusuario con privilegios de SAP_ALL, descargar códigos hash de contraseñas y modificar los procesos empresariales.
SecurityBridge Threat Research Labs, en un alerta publicado el jueves, dijo que había observado una explotación activa de la falla, afirmando que el problema afecta tanto a las ediciones locales como a las de nube privada.
«La explotación requiere el acceso solo de un usuario con pocos privilegios para comprometer por completo un sistema SAP», afirma la empresa. «Combatir completamente el sistema con un esfuerzo mínimo, ya que una explotación exitosa puede conducir fácilmente al fraude, al robo de datos, al espionaje o a la instalación de ransomware».
También señaló que, si bien aún no se ha detectado una explotación generalizada, los actores de amenazas poseen los conocimientos necesarios para utilizarla y que la ingeniería inversa del parche para crear un exploit es «relativamente fácil».
Por lo tanto, se recomienda a las organizaciones que apliquen los parches lo antes posible, supervisen los registros para detectar llamadas RFC sospechosas o nuevos usuarios administradores y se aseguren de que existen las copias de seguridad y la segmentación adecuadas.
«Considere la posibilidad de implementar SAP UCON para restringir el uso de RFC y revisar y restringir el acceso a la actividad 02 del objeto de autorización S_DMIS», decía también.