Vulnerabilidad Crítica en SAP S/4HANA (Nube y On-Premise)

Publicado hace 9 meses 05-09-2025

En agosto del 2025 SAP dio a conocer la existencia de una vulnerabilidad crítica en SAP S/4HANA afectando tanto sus versiones de nube como on-premise. Aunque fue parcheada ese mismo mes, a principios de septiembre se confirmó su explotación activa en sistemas que no han aplicado la actualización. 

 

SAP S/4HANA es una solución de software ERP (Enterprise Resource Planning) diseñada para adaptarse a las necesidades de pequeñas, medianas y grandes empresas, en función de sus objetivos y necesidades. La aplicación de la inteligencia artificial y su flexibilidad para adaptarse a entornos híbridos hacen de esta una solución completa permitiendo tener una visión detallada y análisis de distintas áreas como finanzas, ventas, gestión de activos, etc. a través de un único punto de referencia. 

 

Identificada como CVE-2025-42957 y con una puntuación CVSS de 9.9, esta vulnerabilidad afecta a un módulo de funciones expuesto mediante RFC en SAP S/4HANA y facilita a usuarios autenticados con bajos privilegios inyectar código ABAP, eludir controles de autorización y comprometer totalmente el sistema actuando como una puerta trasera.  

 

De ser explotada correctamente, puede permitir a los atacantes modificar la base de datos de SAP, crear usuarios con privilegios elevados como SAP_ALL, descargar hashes de contraseñas y alterar los procesos comerciales, facilitando así el robo de información, fraude, espionaje y el despliegue de ransomware. 

 

Indicadores de compromiso  

La presencia de cualquiera de los siguientes elementos en los logs de su sistema podría considerarse un indicador de compromiso: 

  • Llamadas RFC inusuales 

  • Nuevos usuarios administradores 

  • Cambios inesperados o no reconocidos en el código ABAP 

Versiones Afectadas

Versiones afectadas   

Versiones parcheadas   

S/4HANA (Nube y On-Premise), versiones S4CORE 102, 103, 104, 105, 106, 107, 108 

Actualizar a las versiones publicadas: https://support.sap.com/en/my-support/knowledge-base/security-notes-news/august-2025.html.html  

Landscape Transformation DMIS versiones 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020 

Business One (SLD) versiones B1_ON_HANA 10.0 y SAP-M-BO 10.0 

NetWeaver Application Server ABAP versiones S4COREOP 104, 105, 106, 107, 108, SEM-BW 600, 602, 603, 604, 605, 634, 736, 746, 747, 748 

Recomendaciones

  • Si cuenta con alguna de las versiones afectadas considere actualizar o migrar cuanto antes a una versión parcheada. 

  • Monitorear en los logs llamadas RFC sospechosas y/o la creación de nuevos usuarios con permisos de administrador. 

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multifactor. 

Referencias

  1. Lakshmanan, R. (2025, Septiembre 5). SAP S/4HANA Critical Vulnerability CVE-2025-42957 Exploited in the Wild. The Hacker News. Recuperado el 5 de septiembre de 2025, en: https://thehackernews.com/2025/09/sap-s4hana-critical-vulnerability-cve.html  
  2. Toulas, B. (2025, Septiembre 5). Critical SAP S/4HANA vulnerability now exploited in attacks. Bleeping Computer. Recuperado el 5 de septiembre de 2025, en: https://www.bleepingcomputer.com/news/security/critical-sap-s-4hana-vulnerability-now-exploited-in-attacks/  
  3. Kovacs, E. (2025, Septiembre 5). Recent SAP S/4HANA Vulnerability Exploited in Attacks. Security Week. Recuperado el 5 de septiembre de 2025, en: https://www.securityweek.com/recent-sap-s-4hana-vulnerability-exploited-in-attacks/  

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 2 días 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más