SAP corrige vulnerabilidades críticas en NetWeaver y Commerce Cloud

Iniciado por Dragora, Hoy a las 12:27:28 PM

Tema anterior - Siguiente tema

0 Miembros y 13 Visitantes están viendo este tema.


SAP ha publicado su Actualización de Seguridad de julio de 2026, incorporando múltiples correcciones para vulnerabilidades que afectan a varios de sus productos empresariales. Entre ellas destaca CVE-2026-44747, una vulnerabilidad crítica con una puntuación CVSS de 9.9, considerada una de las fallas más graves del mes por su potencial para comprometer la confidencialidad, integridad y disponibilidad de los sistemas que ejecutan SAP NetWeaver Application Server ABAP.

Además de este fallo, la compañía también solucionó otras dos vulnerabilidades críticas que afectan a SAP Approuter y SAP Commerce Cloud, ambas con una puntuación CVSS de 9.1. Aunque hasta el momento no existen evidencias de explotación activa en entornos reales, expertos en ciberseguridad recomiendan aplicar las actualizaciones lo antes posible para reducir la superficie de ataque y evitar posibles compromisos futuros.

Las vulnerabilidades fueron analizadas por especialistas de Onapsis, quienes advirtieron que algunas de ellas podrían permitir a atacantes no autenticados acceder a datos sensibles, modificar información crítica e incluso provocar interrupciones en servicios empresariales.

CVE-2026-44747: la vulnerabilidad más crítica afecta a SAP NetWeaver ABAP

La vulnerabilidad CVE-2026-44747 es el problema más severo corregido por SAP durante este ciclo de actualizaciones. Con una puntuación CVSS de 9.9, el fallo se clasifica como una vulnerabilidad de escritura fuera de límites (Out-of-Bounds Write) que afecta al SAP NetWeaver Application Server ABAP.

Este tipo de vulnerabilidad ocurre cuando un proceso escribe datos fuera del espacio de memoria asignado, generando corrupción de memoria y permitiendo comportamientos inesperados en la aplicación.

Según SAP, un atacante autenticado podría aprovechar errores lógicos en la gestión de memoria para provocar:

  • Acceso no autorizado a información confidencial.
  • Modificación de datos críticos del sistema.
  • Corrupción de memoria.
  • Inestabilidad del servidor.
  • Interrupción parcial o total de los servicios empresariales.

Debido al alto impacto potencial sobre la infraestructura SAP, la compañía recomienda aplicar el parche oficial del Kernel ABAP lo antes posible.

Solución temporal disponible, pero con importantes limitaciones

Mientras los administradores planifican la instalación del parche, SAP y Onapsis han propuesto una medida de mitigación temporal.

La recomendación consiste en desactivar determinados nodos ICF (Internet Communication Framework) mediante la transacción SICF, específicamente aquellos que poseen una propiedad concreta relacionada con la vulnerabilidad.

Sin embargo, esta medida presenta una importante desventaja.

Al deshabilitar dichos nodos también se bloquea la apertura de transacciones mediante SAP GUI para HTML, una funcionalidad ampliamente utilizada en numerosas organizaciones para acceder a aplicaciones SAP desde navegadores web.

Por este motivo, Onapsis advierte que la mitigación temporal no resulta viable para todos los entornos de producción, por lo que insiste en que la mejor opción sigue siendo instalar la versión corregida del Kernel ABAP.

SAP Approuter también corrige una vulnerabilidad crítica

Otra de las vulnerabilidades solucionadas durante el mes corresponde a CVE-2026-27690, con una puntuación CVSS de 9.1.

El fallo afecta a SAP Approuter cuando se implementa en entornos distintos de Cloud Foundry.

La vulnerabilidad consiste en un problema de HTTP Request/Response Smuggling, una técnica mediante la cual un atacante manipula la interpretación de las solicitudes HTTP entre diferentes componentes de la infraestructura.

Si un atacante explota con éxito esta vulnerabilidad puede:

  • Desincronizar las solicitudes y respuestas HTTP.
  • Interceptar respuestas destinadas a otros usuarios.
  • Obtener información sensible.
  • Provocar ataques de denegación de servicio (DoS).
  • Alterar el flujo normal de las comunicaciones.

Lo más preocupante es que el ataque no requiere autenticación previa, aumentando significativamente el riesgo para los sistemas expuestos a Internet.

CVE-2026-44761: credenciales predeterminadas ponen en riesgo SAP Commerce Cloud

La tercera vulnerabilidad crítica corregida por SAP corresponde a CVE-2026-44761, también con una puntuación CVSS de 9.1.

En este caso, el problema no reside en un error de programación tradicional, sino en el uso de credenciales OAuth 2.0 predeterminadas presentes en configuraciones de ejemplo publicadas anteriormente por SAP.

Durante años, la documentación del SAP Help Portal incluyó scripts destinados a facilitar el desarrollo y las pruebas.

Estos scripts creaban automáticamente clientes OAuth 2.0 utilizando:

  • Identificadores conocidos.
  • Secretos codificados de forma fija.
  • Configuraciones de ejemplo.

Aunque dichos recursos estaban pensados exclusivamente para laboratorios y entornos de desarrollo, algunos administradores terminaron importándolos directamente en sistemas de producción.

¿Cómo puede explotarse esta vulnerabilidad?

Si una organización mantiene activo el cliente OAuth 2.0 generado por estos scripts sin modificar las credenciales predeterminadas, un atacante no autenticado podría aprovechar la información pública disponible para obtener un token válido de acceso.

Una vez conseguido el token, sería posible:

  • Invocar determinadas API del sistema.
  • Leer información empresarial.
  • Modificar registros.
  • Alterar datos almacenados.
  • Comprometer la integridad de la plataforma.

La vulnerabilidad presenta un alto impacto sobre la confidencialidad y la integridad, aunque SAP indica que no afecta directamente a la disponibilidad del servicio.

¿Qué sistemas son realmente vulnerables?

No todos los clientes de SAP Commerce Cloud están expuestos.

Según Onapsis, únicamente se encuentran en riesgo aquellas organizaciones que:

  • Ejecutaron los scripts de configuración de ejemplo.
  • Mantuvieron el cliente OAuth 2.0 generado automáticamente.
  • No sustituyeron las credenciales predeterminadas por valores únicos y seguros.

En cambio, los sistemas donde:

  • El cliente OAuth fue eliminado.
  • Se modificó el secreto por uno robusto.
  • Nunca se utilizaron los scripts de ejemplo.

No resultan afectados por esta vulnerabilidad.

Recomendaciones para administradores SAP

Los expertos de Onapsis recomiendan realizar una auditoría completa de los entornos SAP para identificar posibles configuraciones inseguras.

Entre las principales acciones recomendadas destacan:

  • Aplicar inmediatamente las actualizaciones de seguridad de julio de 2026.
  • Instalar el nuevo Kernel ABAP corregido para eliminar el riesgo asociado a CVE-2026-44747.
  • Revisar la configuración del servicio ICF si el parche no puede instalarse de inmediato.
  • Auditar todos los clientes OAuth 2.0 existentes en SAP Commerce Cloud.
  • Eliminar cualquier cliente de prueba heredado.
  • Sustituir todas las credenciales codificadas por secretos únicos y robustos.
  • Revisar los registros de acceso a las API para detectar actividades sospechosas.
  • Mantener actualizados los sistemas SAP conforme al calendario oficial de actualizaciones.

La importancia de una correcta gestión de configuraciones

El caso de CVE-2026-44761 pone de manifiesto un problema frecuente en muchas organizaciones: trasladar configuraciones de desarrollo directamente a producción.

Las credenciales predeterminadas, cuentas de prueba y configuraciones de ejemplo continúan siendo una de las principales causas de incidentes de seguridad en infraestructuras empresariales. Este tipo de errores puede pasar desapercibido durante años y convertirse en una puerta de entrada para atacantes cuando la información se encuentra documentada públicamente.

Por ello, además de aplicar parches de seguridad, resulta fundamental establecer procesos de revisión periódica de configuraciones, eliminar componentes innecesarios y verificar que ningún entorno productivo conserve parámetros heredados de laboratorios o pruebas.

No existen evidencias de explotación, pero el riesgo es elevado

Hasta la fecha de publicación del boletín de seguridad, SAP y Onapsis indicaron que no existen pruebas de explotación activa de estas vulnerabilidades en ataques reales.

Sin embargo, la elevada puntuación CVSS y la disponibilidad pública de los detalles técnicos incrementan considerablemente la probabilidad de que actores maliciosos intenten desarrollar exploits en las próximas semanas.

Históricamente, las vulnerabilidades críticas en productos SAP suelen convertirse rápidamente en objetivos prioritarios para grupos de ciberdelincuencia y actores patrocinados por Estados, debido al elevado valor de la información almacenada en estos sistemas.

En fin...

Las actualizaciones de seguridad de SAP correspondientes a julio de 2026 corrigen algunas de las vulnerabilidades más importantes del año, destacando CVE-2026-44747 en SAP NetWeaver ABAP, así como fallos críticos en SAP Approuter y SAP Commerce Cloud. Aunque actualmente no se han detectado ataques que exploten estas debilidades, su impacto potencial sobre la confidencialidad, integridad y disponibilidad de los sistemas empresariales exige una respuesta inmediata por parte de los administradores.

La recomendación es clara: aplicar los parches oficiales sin demora, revisar las configuraciones heredadas de entornos de prueba y fortalecer las credenciales utilizadas en servicios OAuth. Adoptar una estrategia de gestión proactiva de vulnerabilidades y configuraciones permitirá reducir significativamente el riesgo de compromiso y garantizar la continuidad operativa de las plataformas SAP frente a amenazas cada vez más sofisticadas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login