Una vulnerabilidad crítica recientemente descubierta en SAP NetWeaver AS Java expone a las organizaciones al riesgo de ejecución arbitraria de código y potencial compromiso total de sus sistemas. El fallo afecta al componente Deploy Web Service del servicio de despliegue y ha sido identificado como CVE-2025-42922.
Riesgo alto para entornos empresariales
De acuerdo con un informe publicado por la firma de ciberseguridad Redrays, el problema radica en un manejo inseguro de solicitudes multipart/form-data y en la ausencia de validaciones adecuadas tanto de tipo de archivo como de control de acceso basado en roles (RBAC).
Este vacío de seguridad permite que usuarios autenticados con privilegios bajos eludan las restricciones existentes y suban archivos maliciosos al sistema, como archivos ejecutables JSP, WAR o EAR, que posteriormente pueden ser activados para ejecutar código remoto en el servidor afectado.
Detalles técnicos y vector de ataque
La secuencia típica de ataque comienza cuando un actor malicioso consigue credenciales de bajo nivel, ya sea por credential stuffing, ingeniería social o mediante la explotación de vulnerabilidades previas. Una vez autenticado, el atacante puede enviar solicitudes especialmente diseñadas al Deploy Web Service, que carece de los mecanismos necesarios para filtrar estos archivos.
Al aceptar y almacenar los archivos maliciosos sin la validación correspondiente, el sistema queda expuesto a ejecución remota de código (RCE). Una vez ejecutado, el código malicioso puede comprometer todo el entorno SAP.
Medidas de mitigación y recomendaciones
SAP ha publicado el parche correspondiente mediante la SAP Security Note 3643865, que las organizaciones deben aplicar de forma inmediata. Antes de su implementación, se recomienda realizar un análisis de dependencias conforme a la Nota SAP 1974464, para evitar interrupciones o incompatibilidades.
En casos donde no sea posible aplicar el parche de inmediato, SAP ofrece una solución temporal detallada en el artículo de la base de conocimientos KBA 3646072.
Entre las medidas de mitigación adicionales se incluyen:
- Restringir el acceso al Deploy Web Service exclusivamente a usuarios administrativos.
- Implementar registros de auditoría exhaustivos para monitorear cualquier solicitud POST sospechosa hacia los endpoints de despliegue.
- Establecer reglas de detección que identifiquen:
- Solicitudes POST con
multipart/form-datarealizadas por usuarios no administrativos. - Accesos inusuales a URLs relacionadas con “DeployWS”.
- Actividades de despliegue fuera de los horarios habituales.
- Solicitudes POST con
Además, se recomienda revisar los registros de acceso históricos para detectar posibles intentos de explotación.
Fuente: https://gbhackers.com/
