Los investigadores advierten una vulnerabilidad crítica de inyección de código SAP S/4HANA SAP SAP en ataques en la naturaleza para violar los servidores expuestos, advierten los investigadores.
El defecto, rastreado como CVE-2025-42957es un problema de inyección de código ABAP en un módulo de función expuesto a RFC de SAP S/4HANA, lo que permite que los usuarios de autenticación de baja privilegio inyecten código arbitrario, la autorización de omitir y se hagan cargo de SAP.
El proveedor Se corrigió la vulnerabilidad El 11 de agosto de 2025, califica IT Critical (puntaje CVSS: 9.9).
Sin embargo, varios sistemas no han aplicado las actualizaciones de seguridad disponibles, y ahora están siendo atacados por piratas informáticos que han armado el error.
Según un informe de SecurityBridge, CVE-2025-42957 ahora está bajo explotación activa, aunque limitada, en la naturaleza.
SecurityBridge declaró que descubrió la vulnerabilidad y lo informó responsablemente a SAP el 27 de junio de 2025, e incluso ayudó en el desarrollo de un parche.
Sin embargo, debido a la apertura de los componentes impactados y la capacidad de revertir la ingeniería de las soluciones, es trivial para los actores de amenaza altamente calificados y conocedores para descubrir la exploit en sí mismos.
«Si bien aún no se ha informado una explotación generalizada, SecurityBridge ha verificado el abuso real de esta vulnerabilidad». Lee el informe SecurityBridge.
«Eso significa que los atacantes ya saben cómo usarlo, dejando a los sistemas SAP sin parches expuestos».
«Además, la ingeniería inversa del parche para crear un exploit es relativamente fácil para SAP ABAP, ya que el código ABAP está abierto a ver para todos».
La firma de seguridad advirtió que las posibles ramificaciones de la explotación de CVE-2025-42957 incluyen robo de datos, manipulación de datos, inyección de código, escalada de privilegios a través de la creación de cuentas de puerta trasera, robo de credenciales e interrupción operativa a través de malware, ransomware u otro medio.
SecurityBridge creó un video que demuestra cómo se puede explotar la vulnerabilidad para ejecutar los comandos del sistema en los servidores SAP.
https://www.youtube.com/watch?v=snsayb7ysmm
Los administradores de SAP que no han aplicado las actualizaciones del día del parche de agosto de 2025 deberían hacerlo lo antes posible.
Los productos y versiones afectados son:
- S/4HANA (nube privada o en las instalaciones), versiones S4core 102, 103, 104, 105, 106, 107, 108
- Transformación del paisaje (plataforma de análisis), Versiones DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020
- Business One (SLD), Versión B1_ON_HANA 10.0 y SAP-M-BO 10.0
- Netweaver Application Server ABAP (documento BIC), versiones S4CoreOp 104, 105, 106, 107, 108, SEM-BW 600, 602, 603, 604, 605, 634, 736, 746, 747, 748
Un boletín que contiene más información sobre las acciones recomendadas es disponible aquípero solo es visible por los clientes de SAP con una cuenta.
BleepingComuter contactó a SAP y SecurityBridge para preguntarle cómo se está explotando CVE-2025-42957, pero todavía estamos esperando una respuesta.
El 46% de los entornos tenían contraseñas agrietadas, casi duplicando desde el 25% el año pasado.
Obtenga el informe PICUS Blue 2025 ahora para ver más hallazgos sobre la prevención, la detección y las tendencias de exfiltración de datos.
