Vulnerabilidad crítica en SAP S/4HANA (CVE-2025-42957) bajo explotación activa

Un riesgo elevado para entornos ERP

SAP S/4HANA, una de las plataformas de planificación de recursos empresariales (ERP) más utilizadas a nivel mundial, se ve afectada por una vulnerabilidad crítica que ya está siendo explotada en escenarios reales. El fallo, identificado como CVE-2025-42957 y con una puntuación CVSS de 9.9, fue corregido en las actualizaciones de seguridad mensuales de SAP el mes pasado.

Inyección de código y escalada de privilegios

La vulnerabilidad permite a un atacante con credenciales de bajo nivel aprovechar un módulo RFC para inyectar código ABAP arbitrario. Esto significa que puede burlar controles de autorización, comprometiendo la confidencialidad, integridad y disponibilidad del sistema. Entre los posibles impactos se encuentran:

• Creación de usuarios con privilegios de superadministrador (SAP_ALL).
• Alteración de la base de datos.
• Descarga de hashes de contraseñas.
• Manipulación de procesos de negocio críticos.

En términos prácticos, el defecto abre la puerta a fraude, robo de datos, espionaje corporativo o incluso la instalación de ransomware en entornos SAP.

Impacto en on-premise y nube privada

De acuerdo con investigadores, la vulnerabilidad afecta tanto a implementaciones on-premise como en Private Cloud. El proceso de explotación es relativamente sencillo y no requiere privilegios elevados, lo que incrementa el riesgo de que actores maliciosos busquen aprovecharlo de forma masiva en el corto plazo.

Recomendaciones de seguridad

Aunque aún no se han detectado campañas de explotación generalizada, los expertos advierten que revertir el parche y crear un exploit resulta fácil para los atacantes. Por ello, se recomienda a las organizaciones que utilizan SAP S/4HANA:

1. Aplicar de inmediato los parches de SAP.
2. Monitorear registros de actividad, especialmente llamadas RFC sospechosas o la creación de nuevos usuarios con privilegios elevados.
3. Revisar la segmentación de red para limitar el alcance de un posible ataque.
4. Mantener copias de seguridad actualizadas y listas para una restauración rápida.
5. Implementar SAP UCON para restringir el uso de RFC.
6. Revisar y limitar accesos al objeto de autorización S_DMIS (actividad 02).

Conclusión

La vulnerabilidad CVE-2025-42957 representa un riesgo crítico para las organizaciones que dependen de SAP S/4HANA para gestionar procesos empresariales clave. La explotación ya ha sido confirmada en la naturaleza, lo que convierte la aplicación inmediata de medidas de seguridad en una prioridad estratégica para evitar consecuencias de gran impacto.