05/12/2025
IT-Connect » Actualités » Actu Cybersécurité » Plus de 1 200 serveurs SAP vulnérables à une faille critique : des attaques sont en cours !

Cyberattaques en cours - SAP NetWeaver - CVE-2025-31324
Actu Cybersécurité

Plus de 1 200 serveurs SAP vulnérables à une faille critique : des attaques sont en cours !

Florian BURNEL 0 commentaire

Une faille de sécurité activement exploitée menace SAP NetWeaver et en particulier plus de 1 200 serveurs exposés sur Internet. Des cyberattaques sont en cours : voici ce que l'on sait.

CVE-2025-31324 : une faille activement exploitée

Une faille de sécurité critique affecte actuellement SAP NetWeaver, une plateforme utilisée pour connecter et faire fonctionner des applications SAP et non-SAP. Associée à la référence CVE-2025-31324, cette faille concerne le composant Visual Composer development server de SAP NetWeaver Visual Composer.

Dans les faits, en exploitant cette vulnérabilité, un attaquant distant peut téléverser un fichier exécutable sur un serveur vulnérable. Cette faille est particulièrement intéressante par les attaquants, car elle ne nécessite aucune interaction de la part d'un utilisateur, ni aucune authentification préalable. Au final, l'exploitation peut mener à la compromission du serveur.

Plusieurs entreprises spécialisées dans la cybersécurité, dont ReliaQuest et watchTowr ont confirmé que cette vulnérabilité était déjà activement exploitée. D'ailleurs, d'après Rapid7, cette vulnérabilité a été exploitée dès le 27 mars 2025. En effet, les attaquants exploitent cette vulnérabilité pour déployer des web shells sur les serveurs vulnérables, sous les noms cache.jsp ou helper.jsp, et même avec un nom aléatoire dans certains cas.

De son côté, le CERT-FR affirme également avoir connaissance d'attaques : "Le CERT-FR a connaissance de plusieurs compromissions liées à cette vulnérabilité.", peut-on lire.

Comment se protéger ?

Les serveurs avec SAP NetWeaver dans la version VCFRAMEWORK 7.50 sans le dernier correctif de sécurité sont vulnérables à cette faille de sécurité. Le correctif quant à lui a été publié le 25 avril 2025, alors qu'une mesure d'atténuation avait été publiée le 8 avril dernier par l'éditeur.

Le CERT-FR explique que cette vulnérabilité impacte un composant qui est désactivé par défaut : "Elle impacte le composant Visual Composer development server, non installé par défaut mais fréquemment utilisé." - Ce qui doit, en principe, limiter la quantité d'hôtes vulnérables.

"Il est possible de vérifier que le composant vulnérable Visual Composer development server est activé au travers de l'URL http://hote:port/nwa/sysinfo et de chercher la présence du composant VISUAL COMPOSER FRAMEWORK (VCFRAMEWORK.SCA ou VCFRAMEWORK). Si la ligne indique NO, le composant n'est pas installé.", peut-on lire dans le bulletin du CERT-FR.

À partir d'un compte client SAP, il est possible d'obtenir des informations supplémentaires. Avant d'installer le correctif de sécurité, il est recommandé de vérifier les journaux du serveur Web, notamment pour détecter la présence de certaines requêtes suspectes. Le CERT-FR encourage aussi les entreprises à vérifier la présence de fichiers JSP, JAVA ou CLASS dans les répertoires suivants (ce qui doit être considéré comme suspect) :

  • C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\root
  • C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work
  • C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work\sync

CVE-2025-31324 : plus de 1 200 serveurs vulnérables

Cette vulnérabilité, associée à un score CVSS de 10 sur 10, mérite une attention particulière. D'après les analyses effectuées par The Shadowserver Foundation, il y aurait plus de 420 serveurs exposés et vulnérables, dont 102 en Europe.

Néanmoins, d'après les analyses effectuées par la société française Onyphe grâce à son outil de gestion de la surface d’attaque, la situation serait nettement plus alarmante : 1 284 adresses IP uniques vulnérables à cette faille, sur un total de 3 716 appliances SAP accessibles sur Internet. Pire encore, 474 serveurs SAP seraient déjà compromis.

"Parmi les sociétés affectées, la plateforme Onyphe a identifié 3 entreprises du CAC 40, 4 du SBF 120 et 16 du classement Global 500 / Fortune 500.", a expliqué Onyphe à IT-Connect.

La vigilance est donc de mise : les cyberattaques sont en cours, et la réactivité des entreprises est déterminante pour éviter des compromissions potentiellement désastreuses...

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Voir la bio complète
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Nouveautés Kali Linux 2024.3

Kali Linux 2024.3 est disponible ! Quelles sont les nouveautés ?

Florian BURNEL 0
30 000 appareils infectés - comment l'Allemagne a neutralisé BadBox

30 000 appareils infectés : comment l’Allemagne a neutralisé le malware BadBox !

Florian BURNEL 0
Piratage Dropbox Sign - 2024

Piratage de Dropbox Sign : e-mails, mots de passe, clés d’API, etc… volés par le pirate !

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.