AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Exploit combinado en SAP NetWeaver permite ejecución remota y elusión de autenticación

admin

Introducción

En los últimos días ha salido a la luz un nuevo exploit activo que afecta a entornos SAP NetWeaver, combinando dos vulnerabilidades críticas recientemente parcheadas. Este vector de ataque permite a los actores de amenazas eludir mecanismos de autenticación y ejecutar código remoto en sistemas afectados, comprometiendo la integridad y confidencialidad de la información corporativa gestionada por estas plataformas ERP. El exploit, detectado en campañas activas y analizado por la firma Onapsis, supone un riesgo elevado para organizaciones que aún no han aplicado los parches de seguridad correspondientes.

Contexto del Incidente

SAP NetWeaver constituye la columna vertebral de múltiples procesos empresariales en grandes compañías, facilitando la integración de aplicaciones y la gestión de procesos críticos. Debido a su exposición y criticidad, la plataforma es un objetivo habitual para atacantes motivados por el espionaje industrial, sabotaje o cibercrimen económico. A principios de junio de 2024, Onapsis reportó la aparición en la red de un exploit que encadena dos CVE recientes: CVE-2025-31324 y CVE-2025-42999, ambos ya corregidos, pero cuyas vulnerabilidades siguen siendo explotables en instalaciones sin actualizar.

Detalles Técnicos

CVE-2025-31324 (CVSS 10.0) es una vulnerabilidad de omisión de autenticación (Authentication Bypass) que afecta a versiones de SAP NetWeaver Application Server ABAP y Java. El fallo reside en la validación insuficiente de credenciales en ciertos endpoints expuestos, permitiendo a un atacante remoto acceder a funcionalidades administrativas sin requerir autenticación previa.

CVE-2025-42999 (CVSS 9.8) se refiere a una vulnerabilidad de ejecución remota de código (RCE) provocada por la manipulación de parámetros en servicios web SOAP gestionados por NetWeaver. Un atacante autenticado puede enviar payloads especialmente diseñados que se ejecutan con privilegios elevados en el sistema operativo subyacente.

La combinación de ambas vulnerabilidades permite a un adversario primero eludir la autenticación (CVE-2025-31324) y, acto seguido, aprovechar la RCE (CVE-2025-42999) para tomar control total del sistema. El exploit utiliza técnicas documentadas en MITRE ATT&CK como Initial Access (T1078), Exploitation for Privilege Escalation (T1068) y Remote Code Execution (T1210). Onapsis ha identificado indicadores de compromiso (IoC) tales como logs anómalos de acceso a /sap/bc/soap/wsdl y ejecución de shells inversos en sistemas comprometidos.

Impacto y Riesgos

El alcance de la vulnerabilidad es significativo: se estima que más del 30% de las instalaciones SAP NetWeaver expuestas públicamente aún no han aplicado los parches correspondientes. La explotación exitosa puede derivar en robo de información sensible, sabotaje de procesos de negocio, instalación de malware (incluido ransomware) o movimientos laterales hacia otros sistemas corporativos. Dado el uso extensivo de SAP en sectores regulados (finanzas, energía, industria), un incidente de este tipo puede desencadenar incumplimientos normativos graves (GDPR, NIS2, SOX) y provocar pérdidas económicas superiores a los 7 millones de euros por incidente, según estimaciones recientes de ENISA.

Medidas de Mitigación y Recomendaciones

– Aplicar de forma inmediata los parches publicados por SAP que corrigen CVE-2025-31324 y CVE-2025-42999 (SAP Security Notes correspondientes a junio de 2024).
– Revisar los registros de acceso y ejecución en servidores NetWeaver para detectar posibles indicadores de compromiso, como accesos anómalos a endpoints SOAP o la creación de usuarios no autorizados.
– Restringir el acceso a interfaces administrativas y servicios SOAP únicamente a direcciones IP de confianza mediante listas blancas y segmentación de red.
– Implementar monitorización continua y reglas SIEM específicas para detectar patrones de explotación conocidos (por ejemplo, payloads SOAP sospechosos o ejecución de comandos mediante intérprete).
– Realizar pruebas de pentesting orientadas a SAP y simulaciones de ataque controlado (red teaming) para validar la efectividad de las medidas implementadas.

Opinión de Expertos

Especialistas de Onapsis y CERT-EU advierten que la sofisticación de este exploit marca una nueva tendencia en ataques dirigidos a infraestructuras SAP. “La cadena de exploits demuestra que los atacantes están invirtiendo en el desarrollo de TTPs avanzadas específicamente orientadas a sistemas empresariales críticos”, señala Mariano Nuñez, CEO de Onapsis. Desde SANS Institute, se resalta la importancia de considerar la seguridad de SAP como parte integral del modelo Zero Trust y de incluir estos sistemas en los procedimientos regulares de threat hunting.

Implicaciones para Empresas y Usuarios

El incidente subraya la necesidad de mantener una gestión de vulnerabilidades proactiva en sistemas ERP y de no relegar su protección a medidas perimetrales tradicionales. Las organizaciones deben revisar sus procesos de actualización y priorizar la protección de entornos SAP, integrando controles técnicos, formación de equipos y cumplimiento normativo (NIS2, GDPR). Los usuarios con acceso administrativo a SAP deben ser informados sobre la criticidad de estos fallos y las mejores prácticas de higiene digital.

Conclusiones

El exploit combinado que afecta a SAP NetWeaver evidencia la criticidad de mantener actualizados los sistemas empresariales y de dotar a los equipos de ciberseguridad de capacidades de detección y respuesta específicas para plataformas de negocio. La rápida adopción de los parches y la aplicación de controles adicionales serán clave para contener el impacto de esta amenaza y evitar consecuencias legales y económicas significativas.

(Fuente: feeds.feedburner.com)