Vulnerabilidad crítica en SAP NetWeaver (CVE-2025-42989)

Detalles técnicos clave

La vulnerabilidad crítica (CVSS 9.6) afecta al SAP NetWeaver Application Server para ABAP, específicamente en el marco Remote Function Call (RFC). Permite a atacantes autenticados eludir verificaciones de autorización en transacciones RFC (tRFC/qRFC), lo que facilita la escalada de privilegios. El fallo reside en la omisión de comprobaciones del objeto de autorización S_RFC durante el procesamiento de solicitudes entrantes.

Mecanismo de explotación:

• Un atacante autenticado puede enviar solicitudes RFC maliciosas que ejecuten funciones restringidas sin autorización.

• Esto permite operaciones como modificar tablas de bases de datos, alterar configuraciones críticas o deshabilitar servicios.

Impacto:

• Integridad comprometida: Posibilidad de manipular datos o configuraciones del sistema.

• Disponibilidad afectada: Riesgo de denegación de servicio (DoS) mediante la eliminación de recursos esenciales.

• Alcance: Sistemas que utilizan ABAP para integraciones empresariales (ERP, S/4HANA, etc.).

Productos afectados:

• SAP NetWeaver AS ABAP (versiones no parcheadas).

• Sistemas que dependen de transacciones RFC para comunicaciones internas o externas.

Mitigación:

1. Aplicar SAP Security Note #3600840 (parche oficial), que introduce verificaciones obligatorias de S_RFC.

2. Actualizar el kernel de SAP a la versión requerida y configurar el parámetro rfc/authCheckInPlayback=1.

3. Auditar roles de usuario: Verificar y ajustar permisos S_RFC según las nuevas políticas.