vulnerabilidades criticas en sap cuando los parches se convierten en emergencia

Vulnerabilidades críticas en SAP: cuando los parches se convierten en emergencia

PorCarlos Ribeiro

Acabo de ver el último boletín de seguridad de SAP y, sinceramente, no pinta nada bien. La compañía alemana ha lanzado una actualización masiva con 27 nuevos parches y 4 actualizaciones para vulnerabilidades existentes. Y lo preocupante no es la cantidad, sino la gravedad: seis de estos problemas son críticos, incluyendo una falla que ha pasado de «importante» a «crítica» de un día para otro.

El elefante en la habitación: vulnerabilidades con puntuación máxima

La más alarmante es la CVE-2025-30012, una vulnerabilidad que inicialmente SAP catalogó con un modesto 3.9 en la escala CVSS, pero que ahora han recalificado a un rotundo 10 sobre 10. ¿Qué ha ocurrido? Pues que han descubierto que el impacto es mucho peor de lo que pensaban.

El problema afecta al componente Live Auction Cockpit del sistema SRM (Supplier Relationship Management). Resulta que este módulo utiliza un applet de Java obsoleto —sí, en 2025 seguimos arrastrando tecnologías zombie— que puede ser explotado por atacantes no autenticados para ejecutar comandos con privilegios administrativos en el sistema.

En cristiano: cualquiera desde internet, sin necesidad de credenciales, podría tomar el control total del servidor SAP. No hace falta ser un genio para entender por qué le han dado la puntuación máxima.

Cuando lo antiguo se vuelve peligroso

El caso del applet de Java es paradigmático de lo que ocurre en entornos empresariales. Componentes que se desarrollaron hace años, cuando la seguridad tenía otros estándares, siguen funcionando en sistemas críticos que mueven millones de euros al día.

La deserialización insegura que permite este ataque es como dejar que cualquiera te entregue una caja cerrada que, al abrirla, ejecuta automáticamente lo que hay dentro. En lugar de comprobar el contenido antes de procesarlo, el sistema confía ciegamente en él.

S/4HANA también bajo amenaza

La segunda vulnerabilidad crítica (CVE-2025-42967, con puntuación 9.9) afecta a S/4HANA y SCM, dos de los productos estrella de SAP. A diferencia de la anterior, esta requiere que el atacante tenga credenciales normales en el sistema.

El mecanismo es ingenioso y aterrador a partes iguales: el atacante puede crear un nuevo informe que contenga código malicioso. Una vez ejecutado, este código puede permitir el control completo del sistema SAP.

Es como si te permitieran crear una hoja de cálculo que, al abrirla, pudiera formatear todos los discos de la empresa. La diferencia es que estamos hablando de sistemas que gestionan operaciones críticas para miles de compañías en todo el mundo.

El dilema de los privilegios internos

Esta vulnerabilidad plantea una cuestión interesante: ¿son los usuarios internos los más peligrosos? A veces nos obsesionamos con protegernos de amenazas externas, cuando un empleado descontento o una cuenta comprometida pueden causar más daño desde dentro.

Las organizaciones con sistemas SAP tendrían que revisar urgentemente su política de permisos y considerar el principio de mínimo privilegio más seriamente.

NetWeaver: cuatro vulnerabilidades críticas de un golpe

NetWeaver, la columna vertebral tecnológica de muchos productos SAP, no se ha librado de los problemas. Cuatro vulnerabilidades de deserialización insegura (CVE-2025-42963, CVE-2025-42964, CVE-2025-42966 y CVE-2025-42980) han sido calificadas con un CVSS de 9.1.

Todas ellas pueden ser explotadas por atacantes con privilegios elevados para comprometer la aplicación, el sistema o incluso tomar control completo del servidor host, según explica la firma de seguridad Onapsis.

Es como si hubieras contratado cuatro guardias de seguridad diferentes para proteger tu casa, y resultara que los cuatro tienen la misma falla: dejan pasar a cualquiera que lleve un uniforme, sin comprobar su identidad.

¿Por qué tantos problemas similares?

La reincidencia de vulnerabilidades de deserialización insegura sugiere un problema estructural en el código de SAP. Puede que estemos ante un caso de deuda técnica: decisiones de diseño tomadas hace años que ahora pasan factura.

No sería extraño que estas cuatro vulnerabilidades compartieran un origen común, quizá una biblioteca o componente que se reutiliza en diferentes partes del sistema. Por eso, a veces, cuando encuentras un agujero de seguridad, aparecen varios más en lugares similares.

La pregunta del millón: ¿están siendo explotadas?

SAP no ha mencionado que alguna de estas vulnerabilidades esté siendo explotada activamente. Pero seamos realistas: sabemos que los actores maliciosos tienen en su punto de mira estos sistemas empresariales.

De hecho, no sería la primera vez que vemos zero-days en productos SAP. El año pasado tuvimos casos documentados de vulnerabilidades explotadas antes de disponer de parches.

Lo preocupante es el tiempo que puede pasar entre la detección interna de la vulnerabilidad, el desarrollo del parche, su publicación, y la aplicación efectiva en los sistemas de los clientes. Este ciclo puede durar meses, y durante todo ese tiempo los sistemas están expuestos.

El reto de aplicar los parches

Si trabajas con SAP, sabrás que aplicar un parche no es tan sencillo como actualizar una app en tu móvil. Implica planificación, pruebas y, a menudo, ventanas de mantenimiento en horarios imposibles.

Pero ante vulnerabilidades con puntuaciones de 9.9 y 10, la recomendación es clara: actualiza lo antes posible. El riesgo de no hacerlo es simplemente demasiado alto.

Lecciones para llevar a casa

Estas vulnerabilidades nos recuerdan varias cosas importantes:

  1. Los sistemas legados siguen siendo un riesgo enorme, especialmente cuando incluyen componentes obsoletos como applets de Java.

  2. La gestión de privilegios internos es tan importante como la protección perimetral.

  3. Las vulnerabilidades a veces vienen en racimos, especialmente cuando afectan a componentes compartidos.

  4. La gravedad de un fallo puede ser mayor de lo que parece inicialmente (como vimos con la actualización del CVSS de 3.9 a 10).

Y sobre todo: en sistemas críticos como SAP, que gestionan finanzas, producción, ventas y recursos humanos de empresas enteras, la seguridad no puede ser una ocurrencia tardía. Tiene que estar integrada desde el diseño.

La próxima vez que tu departamento de IT te pida una ventana de mantenimiento para aplicar parches en SAP, recuerda este artículo y di que sí sin pensarlo dos veces.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *