Aviso sobre amenazas de ciberseguridad: SAP

19 de mayo de 2025

Vulnerabilidades crítica de SAP

SAP ha publicado parches para abordar una segunda vulnerabilidad, CVE-2025-42999, que afecta a su herramienta SAP NetWeaver. Esta vulnerabilidad implica un problema de escalada de privilegios que, en combinación con la vulnerabilidad CVE-2025-31324 de SAP (fallo de carga de archivos no autenticados en SAP Netweaver Visual Composer), puede permitir a los atacantes pasar de la ejecución remota de código (RCE) al control administrativo completo del entorno SAP.

¿Cuál es la amenaza?

La principal amenaza se centra en dos vulnerabilidades criticas en los sistemas SAP: CVE-2025-31324 y CVE-2025-42999. Los atacantes pueden encadenar estas vulnerabilidades para obtener ejecución remota de código no autenticado y control administrativo total sobre los entornos SAP NetWeaver. Los atacantes pueden explotar activamente estas vulnerabilidades para infiltrarse en entornos SAP y acceder a datos valiosos.

Tras una RCE exitosa a traves de CVE-2025-31324, se ha observado que los atacantes aprovechan la combinación con la CVE-2025-42999 que les permite escalar privilegios de lógica de procesamiento del backend de SAP, permitiéndoles elevar su acceso desde un usuario general o un entorno de shell web a privilegios administrativos completos de SAP, evadiendo los controles de acceso basados en roles y restricciones de seguridad.

Una vez que los atacantes puedan emitir comandos SAP privilegiados, accede o modifica datos empresariales confidenciales, instala puertas traseras persistentes y desactiva los mecanismos de registro. Juntas, ambas vulnerabilidades crean una ruta de acceso libre desde el acceso externo no autenticado hasta el control total de la capa de aplicación de SAP.

¿Por qué es digno de mención?

Esta vulnerabilidad afecta a SAP NetWeaver, una plataforma fundamental que soporta aplicaciones empresariales esenciales en muchas de las empresas mas grandes del mundo. La falla ya se ha utilizado en ataques reales. En segundo lugar los ataques no son hipotéticos: empresas de seguridad y SAP confirman que grupos de APT explotan esta vulnerabilidad para atacar sistemas SAP sensibles. El espionaje y el robo de datos probablemente motivan a estos atacantes, lo que aumenta las consecuencias para las organizaciones afectadas. Por último, la combinación de acceso no autenticado, explotación trivial e impacto de alto valor la convierte en una de las vulnerabilidades de SAP más urgentes.

¿Cuál es la exposición o riesgo?

Las organizaciones que utilizan versiones sin parchear de SAP NetWeaver Visual Composer corren un alto riesgo de vulnerabilidad del sistema, especialmente si los endpoints afectados son accesibles desde internet o redes internas con menos restricciones. Una explotación exitosa podría llevar al control total del entorno de aplicación SAP, incluyendo el acceso a datos empresariales confidenciales, registros de clientes y flujos de trabajo operativos. Los atacantes también podrían aprovechar el acceso a SAP para operar lateralmente dentro de la red corporativa.

Conoce CloudGen Firewall Barracuda Networks

Se recomienda realizar algunas de las siguientes acciones para mitigar el impacto:

Instale todos los parches relevantes para CVE-2025-31324 y CVE-2025-4299 según lo dispuesto en la versión de seguridad de mayo de 2025 de SAP.
Utilice firewalls, servidores proxy inversos o SAP Web Dispatcher para restringir el acceso.
Registros de auditoría para detectar actividades sospechosas, como cargas de archivos no autorizadas, solicitudes POST inusuales o ejecución de scripts desconocidos.
Aisla servidores SAP de la red general y bloquear el acceso de usuarios o sistemas no autorizados.

Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo: