Les chercheurs en sécurité de Forescout Vedere Labs ont lié les attaques en cours ciblant une vulnérabilité de gravité maximale affectant les instances SAP NetWeaver à un acteur menaçant chinois.
SAP a publié un correctif d’urgence hors bande le 24 avril pour corriger cette faille de sécurité de téléchargement de fichiers non authentifiée (CVE-2025-31324) dans SAP NetWeaver Visual Composer, quelques jours après que la société de cybersécurité ReliaQuest a détecté pour la première fois la vulnérabilité ciblée par les attaques.
Une exploitation réussie permet aux attaquants non authentifiés de télécharger des fichiers malveillants sans se connecter, ce qui leur permet d’obtenir l’exécution de code à distance et potentiellement de compromettre complètement le système.
ReliaQuest a signalé que les systèmes de plusieurs clients avaient été violés par des téléchargements de fichiers non autorisés sur SAP NetWeaver, les auteurs de la menace téléchargeant des shells Web JSP dans des répertoires publics, ainsi que l’outil Brute Ratel red team dans la phase de post-exploitation de leurs attaques. Les serveurs SAP NetWeaver compromis ont été entièrement corrigés, ce qui indique que les attaquants ont utilisé un exploit zero-day.
Cette activité d’exploitation a également été confirmée par d’autres sociétés de cybersécurité, notamment watchTowr et Onapsis, qui ont également confirmé que les attaquants téléchargeaient des portes dérobées de shell Web sur des instances non corrigées exposées en ligne.
Mandiant a également observé des attaques zero-day CVE-2025-31324 remontant au moins à la mi-mars 2025, tandis qu’Onapsis a mis à jour son rapport d’origine pour indiquer que son pot de miel a capturé pour la première fois l’activité de reconnaissance et les tests de charge utile depuis le 20 janvier, avec des tentatives d’exploitation commençant le 10 février.
La Fondation Shadowserver suit désormais 204 serveurs SAP Netweaver exposés en ligne et vulnérables aux attaques CVE-2025-31324.
Patrice Auffret, directeur technique d’Onyphe, a également déclaré à Breachtrace fin avril que « Quelque chose comme 20 entreprises Fortune 500 / Global 500 sont vulnérables,et beaucoup d’entre elles sont compromises », ajoutant qu’à l’époque, il y avait 1 284 instances vulnérables exposées en ligne, dont 474 étaient déjà compromises.
Attaques liées à des hackers chinois
Des attaques plus récentes du 29 avril ont été liées à un acteur menaçant chinois suivi par Vedere Labs de Forescout sous le nom de Chaya_004.
Ces attaques ont été lancées à partir d’adresses IP utilisant des certificats auto-signés anormaux se faisant passer pour Cloudflare, dont beaucoup appartenaient à des fournisseurs de cloud chinois (par exemple, Alibaba, Shenzhen Tencent, Huawei Cloud Service et China Unicom).
L’attaquant a également déployé des outils en chinois pendant les violations, y compris un shell inversé basé sur le Web (SuperShell) développé par un développeur parlant chinois.
« Dans le cadre de notre enquête sur l’exploitation active de cette vulnérabilité, nous avons découvert une infrastructure malveillante appartenant probablement à un acteur de menace chinois, que nous suivons actuellement sous le nom de Chaya_004 – conformément à notre convention pour les acteurs de menace anonymes », a déclaré Forescout.
« L’infrastructure comprend un réseau de serveurs hébergeant des portes dérobées Supershell, souvent déployées sur des fournisseurs de cloud chinois, et divers outils de test de stylet, dont beaucoup sont d’origine chinoise. »
Il est conseillé aux administrateurs SAP de patcher immédiatement leurs instances NetWeaver, de restreindre l’accès aux services de téléchargement de métadonnées, de surveiller les activités suspectes sur leurs serveurs et d’envisager de désactiver le service Visual Composer si possible.
CISA a également ajouté la faille de sécurité CVE-2025-31324 à son Catalogue de vulnérabilités exploitées connues il y a une semaine, ordonnant aux agences fédérales américaines de sécuriser leurs systèmes contre ces attaques d’ici le 20 mai, comme l’exige la Directive opérationnelle contraignante (BOD) 22-01.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a averti la CISA.