Una vulnerabilidad de seguridad crítica que afecta a SAP S/4HANA, un software de planificación de medios empresariales (ERP), ha sido objeto de una explotación activa en la naturaleza.
La vulnerabilidad de inyección de comando, rastreada como CVE-2025-42957 (SAP CVSS: 9.9) fue fijado por SAP como parte de sus actualizaciones mensuales el mes pasado.
«SAP S/4HANA permite que un atacante con privilegios de sucesor explote una vulnerabilidad en el módulo de función expuesto a través de RFC», según una descripción de la equivocación en la pulvínulo de datos de vulnerabilidad franquista (NVD) de NIST. «Esta equivocación permite la inyección del código ABAP despótico en el sistema, sin tener lugar por suspensión las verificaciones de autorización esenciales.
La exploración exitosa del defecto podría dar como resultado un compromiso completo del sistema del entorno SAP, subvirtiendo la confidencialidad, la integridad y la disponibilidad del sistema. En sumario, puede permitir a los atacantes modificar la pulvínulo de datos de SAP, crear cuentas de superusuario con privilegios SAP_ALL, descargar hash de contraseña y alterar procesos comerciales.
SecurityBridge Amenazen Research Labs, en un alerta Emitido el jueves, dijo que ha observado la explotación activa de la equivocación, afirmando que el problema impacta tanto en las ediciones de nubes en las instalaciones como privadas.
«La explotación requiere el golpe solo a un sucesor privilegiado de bajo privilegio para comprometer completamente un sistema SAP», dijo la compañía. «Se requiere un compromiso completo del sistema con un esfuerzo intrascendente, donde la explotación exitosa puede conducir fácilmente a fraude, robo de datos, espionaje o la instalación de ransomware».
Incluso señaló que si admisiblemente la explotación generalizada aún no se ha detectado, los actores de amenaza poseen el conocimiento para usarlo, y que la ingeniería inversa del parche para crear una exploit es «relativamente obediente».
Como resultado, se recomienda a las organizaciones que apliquen los parches lo ayer posible, monitoree los registros para las llamadas de RFC sospechosas o los nuevos usuarios administrativos, y garantice la segmentación y copias de seguridad adecuadas.
«Considere la implementación de SAP UCON para restringir el uso y revisión de RFC y restringir el golpe al objeto de autorización S_DMIS Actividad 02», dijo además.
