S# 🚨 SAP NetWeaver : deux failles critiques exploitées activement en chaîne (CVE-2025-31324 & CVE-2025-42999)
🔍 Contexte
SAP a publié, le 12 mai 2025, un second correctif de sécurité visant SAP NetWeaver Visual Composer, après la découverte d’une nouvelle vulnérabilité (CVE-2025-42999) exploitée en parallèle d’une faille déjà connue (CVE-2025-31324).
Les deux failles ont été exploitées en zero-day dès janvier 2025 et sont aujourd’hui activement utilisées dans des attaques ciblant des entreprises du Fortune 500, selon plusieurs entreprises de cybersécurité.
🧨 Vulnérabilités concernées
🐚 CVE-2025-31324 – Upload non authentifié de fichiers (corrigé en avril)
- Permet à un attaquant non authentifié de téléverser un fichier
.jspmalveillant. - Exploité pour déployer des web shells et l’outil Brute Ratel.
- Ajouté au catalogue CISA KEV, correction exigée avant le 20 mai 2025 pour les agences fédérales US.
💥 CVE-2025-42999 – Désérialisation non sécurisée (corrigée le 12 mai)
- Permet une exécution de commande distante sans privilèges.
- Exige des droits VisualComposerUser.
- Exploité en chaîne avec CVE-2025-31324 pour compromettre les serveurs SAP.
🧬 Détails techniques
- Les attaques observées utilisent les deux failles :
- D’abord CVE-2025-31324 pour accéder sans authentification,
- Puis CVE-2025-42999 pour exécuter des commandes arbitraires.
- Observées depuis janvier 2025, les attaques se sont intensifiées en mars.
- Confirmées par ReliaQuest, watchTowr, Onapsis, Forescout/Vedere Labs.
- Attribuées à un acteur chinois nommé Chaya_004.
🌍 Impact mondial
Selon Onyphe, plus de 1 284 serveurs exposés étaient vulnérables fin avril — 474 déjà compromis, incluant 20 entreprises du Fortune 500.
La Shadowserver Foundation recense désormais plus de 2 040 instances SAP NetWeaver vulnérables exposées sur Internet.
🛡️ Recommandations SAP
SAP appelle tous les clients à :
- Appliquer immédiatement les correctifs :
- Note 3594142 (CVE-2025-31324)
- Note 3604119 (CVE-2025-42999)
- Désactiver Visual Composer si non utilisé.
- Restreindre l’accès au service de téléversement de métadonnées.
- Mettre en place une surveillance active des journaux de serveur.
🧰 Informations complémentaires
- 📌 Lien vers les SAP Security Notes : SAP Security Patch Day Notes
- 🛡️ CISA BOD 22-01 : https://www.cisa.gov/known-exploited-vulnerabilities
- 🕵️ Attribution : Chaya_004 (acteur chinois)
🧾 Références
- BleepingComputer : SAP patches second zero-day exploited in attacks
- SAP Notes 3594142, 3604119
- ReliaQuest, Onapsis, Forescout, Shadowserver, Onyphe
Logo de SAP
🔗 Source originale : https://www.bleepingcomputer.com/news/security/sap-patches-second-zero-day-flaw-exploited-in-recent-attacks/