SAP ha lanzado su paquete de parches en noviembre de 2025, que incluye actualizaciones críticas para dos vulnerabilidades: una en SQL Anywhere Monitor (CVE-2025-42890, CVSS 10.0) y otra en Solution Manager (CVE-2025-42887, CVSS 9.9). Ambas fallas permiten la ejecución de código o la escalada de privilegios en sistemas críticos.
Alerta Crítica SAP: CVSS 10.0 por Credenciales Codificadas
La combinación de ejecución remota de código (RCE) y credenciales codificadas en software de gestión empresarial confiere a estos fallos la máxima puntuación de gravedad, exponiendo sistemas ERP y de supervisión.
CVE-2025-42890: Credenciales Codificadas en SQLAnywhereMonitor
- Mecanismo: La vulnerabilidad se debe a credenciales internas fijadas de origen ( hard-coded Credentials ) en SQL Anywhere Monitor.
- Impacto: Un atacante con acceso a la red del producto puede autenticarse o escalar privilegios sin necesidad de credenciales válidas explícitas. Esto otorga al atacante la capacidad de ejecutar código arbitrario, instalar puertas traseras o extraer datos.
- Mitigación de SAP: SAP ha recomendado y optado por eliminar completamente este componente debido a la profundidad de la vulnerabilidad, lo que implica un riesgo extremo para las instalaciones heredadas que aún lo utilizan.
CVE-2025-42887: Inyección de Código enSolutionManager
- Mecanismo: La falla permite la inyección de código a través de un módulo de función remota que no sanita adecuadamente la entrada del usuario.
- Impacto: Un atacante puede inyectar códigos o comandos que se ejecutan en el contexto del sistema, comprometiendo la integridad de Solution Manager. El impacto puede extenderse a componentes SAP conectados (ej., S/4HANA, interfaces de ERP).
Implicaciones Críticas
- Compromiso Total: Una vulnerabilidad de CVSS 10.0 (CVE-2025-42890) indica que la explotación es remota, no requiere autenticación (debido a las credenciales codificadas) y permite la toma de control total.
- Falla Estructural: La presencia de credenciales codificadas en un producto empresarial tan importante revela riesgos estructurales en las prácticas de desarrollo que van más allá del parche.
- Blanco Preferente: Los productos SAP son blanco preferente de amenazas sofisticadas, lo que exige que las organizaciones actúen con urgencia para evitar la explotación.
Recomendaciones
- Parcheo y Retiro de Componentes
- Aplicar Parches: Aplique de inmediato los parches de SAP de noviembre de 2025 para CVE-2025-42890 y CVE-2025-42887.
- Retirar SQL Anywhere Monitor: Si su entorno usa SQL Anywhere Monitor, considere retirarlo inmediatamente según la recomendación de SAP, o aislarlo completamente de la red y revocar credenciales predeterminadas.
- Solution Manager: Revisar que los módulos de función remota estén deshabilitados o accesibles solo a usuarios de confianza con validación estricta de entradas.
- Auditoría y Monitoreo
- Auditoría de Cuentas: Realizar una auditoría de cuentas de administración y servicios con acceso a los sistemas afectados. Forzar el cambio de credenciales en instalaciones con configuración por defecto.
- Monitoreo de Anomalías: Añadir reglas de monitoreo para detectar autenticaciones no esperadas en SQL Anywhere Monitor o Solution Manager, creación de procesos inusuales o cargas de código externo.
- Aislamiento: Identificar hosts de SAP expuestos a Internet y priorizar su parche o aislamiento completo.
