Vulnerabilidades Críticas en SAP NetWeaver
En su boletín de seguridad de septiembre del 2025, SAP dio a conocer tres vulnerabilidades de severidad critica que afectan a diferentes versiones de SAP Netweaver como SAP Netweaver (RMI-P4) y SAP NetWeaver AS Java (Deploy Web Service).
SAP NetWeaver es una plataforma que actúa como un middleware modular e integra todas las aplicaciones SAP como ERP, CRM, SRM y SCM en una única plataforma, ofreciendo al usuario de un vínculo entre lenguajes y aplicaciones. Desde ahí es posible tener acceso y seleccionar las estaciones de trabajo de manera individual controlando las funciones y su movimiento.
A continuación, se detallan las vulnerabilidades que afectan este producto.
CVE-2025-42944
Alcanzando la máxima puntuación de 10.0 en la escala CVSS, la vulnerabilidad CVE-2025-42944 corresponde a una deserialización insegura en la cual un atacante no autenticado tiene la facilidad de enviar un objeto Java a un puerto abierto del módulo RMI-P4 y lograr la ejecución arbitraria de comandos del sistema operativo. RMI-P4 es el protocolo de invocación de métodos remotos (Remote Method Invocation Protocol) utilizado por SAP NetWeaver AS Java para la comunicación interna de sistemas SAP o para fines administrativos. Aunque el puerto P4 está destinado a estar abierto únicamente en el host local, algunas organizaciones podrían exponerlo a internet u otras redes debido a errores de configuración en el firewall.
CVE-2025-42922
Identificada como CVE-2025-42922, esta vulnerabilidad tiene una puntuación CVSS 9.9 y trata sobre un error en las operaciones de archivos inseguros en SAP NetWeaver AS Java (Deploy Web Service). De ser explotada correctamente, un actor malicioso sin credenciales administrativas podría cargar archivos arbitrarios que facilitan la ejecución remota de código, permitiendo así tomar total control del sistema.
CVE-2025-42958
La vulnerabilidad CVE-2025-42958 alcanza una puntuación CVSS de 9.1 y permite a usuarios con privilegios elevados tener funciones de administrador como leer, modificar y eliminar información sensible, incluso sin estar autorizados, debido a una falta de validación de autorización en sistemas SAP NetWeaver que se encuentren ejecutándose en IBM i-series.
Versiones Afectadas
CVE-2025-42944
|
Versiones afectadas |
Versiones parcheadas |
|
SAP Netweaver (RMI-P4) versión SERVERCORE 7.50 |
Actualizar a las versiones parcheadas publicadas en: https://support.sap.com/en/my-support/knowledge-base/security-notes-news/september-2025.html |
CVE-2025-42922
|
Versiones afectadas |
Versiones parcheadas |
|
SAP NetWeaver AS Java (Deploy Web Service) versión J2EE-APPS 7.50 |
Actualizar a las versiones parcheadas publicadas en: https://support.sap.com/en/my-support/knowledge-base/security-notes-news/september-2025.html |
CVE-2025-42958
|
Versiones afectadas |
Versiones parcheadas |
|
SAP NetWeaver versiones KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54 |
Actualizar a las versiones parcheadas publicadas en: https://support.sap.com/en/my-support/knowledge-base/security-notes-news/september-2025.html |
Recomendaciones
-
Si cuenta con alguna de las versiones afectadas considere actualizar o migrar cuanto antes a una versión parcheada.
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- SAP. (2025, Septiembre 9). SAP Security Patch Day - September 2025. Recuperado el 9 de septiembre de 2025, en: https://support.sap.com/en/my-support/knowledge-base/security-notes-news/september-2025.html
- Toulas, B. (2025, Septiembre 9). SAP fixes maximum severity NetWeaver command execution flaw. Bleeping Computer. Recuperado el 9 de septiembre de 2025, en: https://www.bleepingcomputer.com/news/security/sap-fixes-maximum-severity-netweaver-command-execution-flaw/
- Arghire, I. (2025, Septiembre 9). SAP Patches Critical NetWeaver Vulnerabilities. Security Week. Recuperado el 9 de septiembre de 2025, en: https://www.securityweek.com/sap-patches-critical-netweaver-vulnerabilities/
