Una vulnerabilità di sicurezza critica identificata come CVE-2025-42957 ha colpito SAP S/4HANA, una delle piattaforme ERP più diffuse a livello aziendale. Si tratta di una vulnerabilità di tipo command injection con un punteggio di gravità CVSS pari a 9.9, che consente a un attaccante con privilegi utente di sfruttare una funzione esposta tramite il protocollo RFC. Questo difetto permette l'iniezione di codice ABAP arbitrario nel sistema, aggirando i controlli di autorizzazione fondamentali.

L'impatto di questa vulnerabilità su SAP S/4HANA è estremamente grave: un attacco riuscito può portare al completo compromesso del sistema, mettendo a rischio la confidenzialità, l'integrità e la disponibilità della piattaforma SAP. Gli aggressori possono modificare il database SAP, creare account superuser con privilegi SAP_ALL, scaricare hash delle password e alterare i processi aziendali, aprendo la strada a frodi, furti di dati, spionaggio e persino all'installazione di ransomware.

Attività di sfruttamento e rischi

Secondo quanto rilevato da SecurityBridge Threat Research Labs, la vulnerabilità CVE-2025-42957 viene già sfruttata attivamente sia sulle versioni on-premise sia su quelle Private Cloud di SAP S/4HANA. Preoccupante è il fatto che per compromettere interamente un sistema SAP è sufficiente disporre di un account a basso privilegio, rendendo l'attacco accessibile anche ad utenti interni o a chi riesca a ottenere credenziali minime.

Attualmente non sono stati segnalati attacchi su larga scala, ma gli esperti sottolineano che i criminali informatici sono già in possesso delle conoscenze necessarie per sfruttare la falla. Inoltre, il processo di reverse engineering delle patch ufficiali per generare exploit funzionanti risulta relativamente semplice, aumentando sensibilmente il livello di rischio per tutte le aziende che non hanno ancora aggiornato i propri sistemi.

Mitigazioni e raccomandazioni

Per mitigare il rischio, è fondamentale applicare immediatamente le patch di sicurezza rilasciate da SAP e monitorare attentamente i log per individuare chiamate RFC sospette o la creazione di nuovi utenti amministratori. È consigliato anche implementare una segmentazione adeguata della rete e mantenere backup aggiornati. Gli esperti suggeriscono l’adozione di SAP UCON per limitare l’uso delle interfacce RFC e una revisione rigorosa degli oggetti di autorizzazione sensibili come S_DMIS, attività 02.

Il vendor Pathlock ha confermato di aver rilevato attività anomale coerenti con tentativi di sfruttamento di CVE-2025-42957 e avverte che tutte le organizzazioni che non hanno ancora applicato gli aggiornamenti di agosto 2025 sono esposte a rischi elevati di compromissione.