Plus de 1 200 instances SAP NetWeaver exposées à Internet sont vulnérables à une vulnérabilité de téléchargement de fichiers non authentifié de gravité maximale activement exploitée qui permet aux attaquants de détourner des serveurs.
SAP NetWeaver est un serveur d’applications et une plate-forme de développement qui exécute et connecte des applications SAP et non SAP à travers différentes technologies.
La semaine dernière, SAP a divulgué une vulnérabilité de téléchargement de fichiers non authentifiée, identifiée comme CVE-2025-31324, dans SAP NetWeaver Visual Composer, en particulier le composant de téléchargement de métadonnées.
La faille permet aux attaquants distants de télécharger des fichiers exécutables arbitraires sur des instances exposées sans s’authentifier, ce qui permet l’exécution de code et une compromission complète du système.
Plusieurs entreprises de cybersécurité, dont ReliaQuest, watchTowr et Onapsis, ont confirmé que la faille est activement exploitée dans les attaques, les acteurs de la menace l’utilisant pour déposer des shells Web sur des serveurs vulnérables.
Un porte-parole de SAP a déclaré à Breachtrace qu’il était au courant de ces tentatives et a publié une solution de contournement le 8 avril 2024, suivie d’une mise à jour de sécurité qui corrigeait CVE-2025-31324 le 25 avril.
SAP a déclaré à Breachtrace qu’ils n’étaient au courant d’aucun cas où ces attaques ont eu un impact sur les données ou les systèmes des clients.
Largement exploité dans les attaques
Les chercheurs ont maintenant confirmé que de nombreux serveurs SAP Netweaver vulnérables sont exposés sur Internet, ce qui en fait des cibles privilégiées pour les attaques.
La Fondation Shadowserver a trouvé les 427 serveurs exposés, avertissant de la surface d’attaque massive exposée et des répercussions potentiellement graves de l’exploitation.
La plupart des systèmes vulnérables (149) se trouvent aux États-Unis, suivis de l’Inde (50), de l’Australie (37), de la Chine (31), de l’Allemagne (30), des Pays-Bas (13), du Brésil (10) et de la France (10).
Cependant, le moteur de recherche de cyberdéfense Sur yp il brosse un tableau plus sombre, indiquant à Breachtrace qu’il y a 1 284 serveurs vulnérables exposés en ligne, dont 474 ont déjà été compromis avec des webshells.
« Quelque chose comme 20 entreprises Fortune 500 / Global 500 sont vulnérables,et beaucoup d’entre elles sont compromises », a déclaré Patrice Auffret, directeur technique d’Onyphe, à Breachtrace .
Les chercheurs ont signalé que les acteurs de la menace utilisent des webshells avec des noms tels que « cache ».jsp » et » aide.jsp. »Cependant, Nextron Research indique qu’ils utilisent également des noms aléatoires, ce qui rend plus difficile la recherche d’instances Netweaver vulnérables.
Bien que le nombre de serveurs ne soit pas énorme, le risque est toujours important, étant donné que les grandes entreprises et les multinationales utilisent couramment SAP NetWeaver.
Pour gérer le risque, il est recommandé d’appliquer la dernière mise à jour de sécurité en suivant les instructions du fournisseur dans ce bulletin.
Si vous ne parvenez pas à appliquer la mise à jour, les mesures d’atténuation ci-dessous sont recommandées:
- Restreindre l’accès au point de terminaison /serveur de développement/téléchargeur de métadonnées.
- Si Visual Composer n’est pas utilisé, envisagez de le désactiver complètement.
- Transférez les journaux vers SIEM et recherchez les fichiers non autorisés dans le chemin du servlet.
Red Rays a également publié un outil d’analyse pour CVE-2025-31324 qui peut aider à identifier les risques dans les grands environnements.
Breachtrace a contacté SAP avec d’autres questions sur l’exploitation active et mettra à jour l’histoire avec toute réponse.