El Panorama de SAP Security Notes en 2025

Entre la Realidad y la Urgencia

A mitad de agosto de 2025, ya llevamos 132 Security Notes publicadas por SAP, una cifra que prácticamente iguala todo lo registrado en 2024. Pero el verdadero problema no está solo en los números - está en lo que estos números no nos están contando.

La Historia Detrás de las Estadísticas

Una vulnerabilidad zero-day de SAP con puntaje CVSS de 10.0 está siendo activamente explotada, y casos como CVE-2025-31324 nos recuerdan que no estamos jugando con simulacros. Los atacantes no esperan a que nosotros tengamos tiempo en nuestras agendas corporativas para aplicar parches.

Lo que más me llama la atención es cómo los scores EPSS (Exploit Prediction Scoring System) están reflejando una actividad creciente. EPSS v4 comenzó a publicarse en marzo de 2025, y las métricas muestran que la probabilidad de explotación de vulnerabilidades SAP está en constante aumento. Es decir, no solo tenemos más vulnerabilidades - tenemos más vulnerabilidades que los atacantes consideran "interesantes".

La Realidad del Día a Día

Como equipos de ciberseguridad, vivimos en la tensión constante entre la urgencia técnica y las realidades del negocio. Sabemos que es costoso parar sistemas para mantenimiento, upgrades y parches. Pero aquí está el punto: necesitamos dejar de ver la gestión de vulnerabilidades como una interrupción y empezar a verla como una oportunidad de sincronización.

Cada ventana de mantenimiento, cada actualización programada, cada "downtime" planificado es una oportunidad dorada para incluir nuestras mitigaciones. Es como hacer el mantenimiento del auto: mejor hacerlo en el taller que esperar a quedar varado en la carretera.

Herramientas para la Supervivencia Diaria

Las prácticas shift-left no son solo una moda DevSecOps - son nuestra navaja suiza diaria. Cuando integramos la seguridad desde el diseño y desarrollo, reducimos dramáticamente la superficie de ataque y los costos de remediación posterior.

La gestión diaria requiere:

  • Conocimiento profundo del scope: ¿Qué CVE-IDs afectan realmente mi infraestructura?
  • Testing inteligente: Probar mitigaciones en ambientes bajos antes de producción
  • Documentación de riesgos: Entender qué puede vivir con mitigaciones temporales y qué necesita parches inmediatos

Una Recomendación Práctica ⚡

De los 132 Security Notes publicados hasta ahora, he identificado 38 CVE-IDs prioritarios.

Esta no es una lista arbitraria:

  • 1 está en la Known Exploited Vulnerabilities (KEV) list
  • 29 corresponden a debilidades del CWE Top 25

Estos 38 representan el 28% del total, pero concentran probablemente el 80% del riesgo real. Es la aplicación práctica del Principio de Pareto en gestión de vulnerabilidades.

Image

Image

Pueden ver detalles de CVE-IDs en SAP Compass Priority Vulnerabilities

La Intención y Objetivo del Mensaje 🤔

El propósito de este análisis es invitar a la reflexión sobre nuestras prácticas actuales. ¿Estamos realmente priorizando de manera efectiva? ¿Nuestros procesos de gestión de vulnerabilidades están alineados con la realidad del panorama de amenazas?

Estas estadísticas nos confrontan con preguntas incómodas: si ya llevamos 132 Security Notes en agosto, ¿cómo estamos procesando esta información? ¿Tenemos criterios claros para decidir qué atender primero, o estamos navegando a ciegas entre parches y mitigaciones?

La gestión de vulnerabilidades no se trata de ser perfecto - se trata de ser honesto con nuestras limitaciones y estratégico con nuestros recursos. En un entorno donde 768 CVEs fueron explotados por primera vez en 2024, vale la pena preguntarse: ¿estamos preparados para lo que viene?

¿Tu equipo tiene clara su estrategia de priorización para el resto de 2025?

#CyberSecurity #SAP #VulnerabilityManagement #InfoSec #RiskManagement




rhnux :: | | :: Made with MkDocs + Simple Blog