SAP ha lanzado un boletín de seguridad urgente para corregir múltiples vulnerabilidades críticas en sus productos, específicamente en SAP NetWeaver Print Service y componentes relacionados con SRM (Supplier Relationship Management). Estas fallas permiten la Ejecución Remota de Código (RCE) sin autenticación, divulgación de información confidencial y escalamiento de privilegios, lo que representa un riesgo alto para la infraestructura SAP.
Vulnerabilidades Críticas en SAP NetWeaver
Las fallas se centran en el SAP NetWeaver AS Java y los componentes que gestionan las operaciones de impresión y los servicios web del módulo SRM (SCIF / Web Service Print).
- RCE sin Autenticación: Algunas vulnerabilidades clave permiten a un atacante lograr la Ejecución Remota de Código (RCE) sin necesidad de autenticación previa. Esto convierte a los servidores SAP Print Service expuestos en un vector de alto riesgo.
- Divulgación y Escalada: Otras fallas posibilitan la divulgación de información confidencial, la extracción de datos o el escalamiento de privilegios dentro del sistema Java.
- Vector de Ataque: La explotación puede desencadenarse a través de los procesos de impresión, lo que hace que las empresas que usan el SAP Print Service para generar reportes automáticos sean especialmente vulnerables.
- CVE-2025-42944: Vulnerabilidad de deserialización insegura en SAP NetWeaver AS Java (CVSS 10.0).
- CVE-2025-42937: Falla de directory traversal en Print Service que permite sobrescribir archivos del sistema (CVSS 9.8).
- CVE-2025-42910: Subida de archivos no restringida en Supplier Relationship Management (SRM) (CVSS 9.0).
- CVE-2025-5115: Vulnerabilidad de denegación de servicio (DoS) en Commerce Cloud.
- CVE-2025-48913: Error de configuración de seguridad en Data Hub Integration Suite.
Riesgo Estratégico: Si un atacante toma control del servidor Java de NetWeaver, puede acceder a datos sensibles de producción, modificar documentos u órdenes, y pivotar lateralmente hacia otros módulos críticos de SAP (ERP, CRM) en grandes instalaciones. Muchas organizaciones tienden a descuidar los parches en módulos “menos visibles” como impresión, lo que los convierte en puntos de entrada fáciles.
Recomendaciones
Crítico
- Aplicar Parches SAP Urgente: Obtener los parches desde el portal SAP Security Notes y aplicarlos en los servidores NetWeaver Print Service y SRM lo antes posible.
- Mitigación Temporal: Si el parcheo inmediato no es posible, la principal medida es desactivar el componente Print Service. Alternativamente, restringir el acceso a los servicios de impresión solo a hosts y redes internas de gestión absolutamente confiables.
- Segmentación de Red: Asegurar que la instancia Java con Print Service esté aislada detrás de firewalls internos. Bloquear accesos desde redes públicas y permitir solo el tráfico proveniente de sistemas internos autorizados (ERP, SRM).
- Hunting Inmediato: Revisar los logs de Java y los registros del servidor web en busca de peticiones HTTP/HTTPS al endpoint de Print Service que contengan parámetros inusuales o fallos de autenticación sospechosos justo antes de aplicar parches.
Alto
- Auditoría de Componentes Secundarios: Incluir módulos “menos visibles” como impresión, conectores OData y servicios web internos en las pruebas de penetración regulares.
- Refuerzo de Autenticación: Forzar la autenticación fuerte y MFA para el acceso a SAP Java. Revisar las autorizaciones restringidas (roles) y deshabilitar servicios web no necesarios.
