SAP a publié des mises à jour d’urgence hors bande pour NetWeaver afin de corriger une vulnérabilité d’exécution de code à distance (RCE) activement exploitée utilisée pour détourner des serveurs.
La vulnérabilité, suivie sous CVE-2025-31324 et classée critique (score CVSS v3: 10,0), est une vulnérabilité de téléchargement de fichiers non authentifiée dans SAP NetWeaver Visual Composer, en particulier le composant de téléchargement de métadonnées.
Il permet aux attaquants de télécharger des fichiers exécutables malveillants sans avoir besoin de se connecter, ce qui peut entraîner l’exécution de code à distance et une compromission complète du système.
Bien que le bulletin du fournisseur ne soit pas public, ReliaQuest a signalé plus tôt cette semaine une vulnérabilité activement exploitée sur SAP NetWeaver Visual Composer, en particulier le point de terminaison ‘/developmentserver/metadatauploader’, qui s’aligne sur CVE-2025-31324.
ReliaQuest a signalé que plusieurs clients avaient été compromis via des téléchargements de fichiers non autorisés sur SAP NetWeaver, les attaquants téléchargeant des shells Web JSP dans des répertoires accessibles au public.
Ces téléchargements ont permis l’exécution de code à distance via de simples requêtes GET vers les fichiers JSP, permettant l’exécution de commandes à partir du navigateur, des actions de gestion de fichiers (téléchargement/téléchargement), etc.
Dans la phase de post-exploitation, les attaquants ont déployé l’outil red team « Brute Ratel », la technique de contournement de la sécurité « Heaven’s Gate », et injecté du code compilé par MSBuild dans dllhost.exe pour la furtivité.
ReliaQuest a noté dans le rapport que l’exploitation ne nécessitait pas d’authentification et que les systèmes compromis étaient entièrement corrigés, indiquant qu’ils étaient ciblés par un exploit zero-day.
La société de sécurité watchTowr a également confirmé à Breachtrace qu’elle constatait une exploitation active liée à CVE-2025-31324.
« Les attaquants non authentifiés peuvent abuser des fonctionnalités intégrées pour télécharger des fichiers arbitraires sur une instance SAP NetWeaver, ce qui signifie une exécution complète du code à distance et une compromission totale du système », a déclaré Benjamin Harris, PDG de watchTowr.
« watchTowr constate une exploitation active par des acteurs de la menace, qui utilisent cette vulnérabilité pour déposer des portes dérobées du shell Web sur les systèmes exposés et obtenir un accès supplémentaire. »
« Cette exploitation active dans la nature et son impact généralisé rendent incroyablement probable que nous verrons bientôt une exploitation prolifique par plusieurs parties. »
Breachtrace a contacté SAP avec des questions sur l’exploitation active mais n’a pas reçu de réponse pour le moment.
Protégez-vous contre les attaques maintenant
La vulnérabilité affecte le framework Visual Composer 7.50 et l’action recommandée est d’appliquer le dernier correctif.
Cette mise à jour de sécurité d’urgence a été mise à disposition après la mise à jour régulière d’avril 2025 de SAP, donc si vous avez appliqué cette mise à jour plus tôt ce mois-ci (publiée le 8 avril 2025), vous êtes toujours vulnérable à CVE-2025-31324.
De plus, la mise à jour d’urgence inclut des correctifs pour deux vulnérabilités plus critiques, à savoir CVE-2025-27429 (injection de code dans SAP S/4HANA) et CVE-2025-31330 (injection de code dans SAP Landscape Transformation).
Il est recommandé aux personnes incapables d’appliquer les mises à jour qui traitent CVE-2025-31324 d’effectuer les atténuations suivantes:
- Restreindre l’accès au point de terminaison /serveur de développement/téléchargeur de métadonnées.
- Si Visual Composer n’est pas utilisé, envisagez de le désactiver complètement.
- Transférez les journaux vers SIEM et recherchez les fichiers non autorisés dans le chemin du servlet.
ReliaQuest recommande d’effectuer une analyse approfondie de l’environnement pour localiser et supprimer les fichiers suspects avant d’appliquer les mesures d’atténuation.