Selon Seqrite, une vulnérabilité critique CVE-2025-31324 affecte SAP NetWeaver Development Server et est activement exploitée depuis mars 2025, avec une intensification après la publication d’un exploit public en août 2025.
🚨 Impact et portée: La faille permet une exécution de code à distance (RCE) par des attaquants non authentifiés, conduisant à une compromission complète des environnements SAP. Les risques incluent vol de données, mouvement latéral et perturbation des opérations. Plus de 1 200 serveurs exposés ont été identifiés, avec des intrusions confirmées dans plusieurs secteurs.
🛠️ Détails techniques: La vulnérabilité provient d’une validation insuffisante des fichiers de modèle téléversés via l’endpoint /metadatauploader, qui accepte des payloads application/octet-stream sans assainissement adéquat. Les attaquants envoient des ZIP/JAR forgés (en-têtes PK) contenant des définitions de modèles malveillantes qui s’exécutent lors du traitement par NetWeaver. La chaîne d’exploitation passe par des requêtes POST vers /developmentserver/metadatauploader avec payload binaire, menant à une exécution arbitraire de code.
🧾 IOCs évoqués:
- Déploiement de web shells JSP: helper.jsp, cache.jsp
- Présence du backdoor Auto-Color sur systèmes Linux
- Mention de hashs de fichiers spécifiques (non détaillés dans l’extrait)
🧭 TTPs observées (description):
- Exploitation d’une vulnérabilité d’upload de fichier non authentifiée pour RCE
- Téléversement et déploiement de web shells pour persistance et contrôle
- Backdoor (Auto-Color) pour accès prolongé
- Utilisation de requêtes POST vers un endpoint applicatif exposé
Type d’article: analyse de menace présentant la vulnérabilité, sa chaîne d’exploitation, l’impact et des indicateurs d’attaque.
🧠 TTPs et IOCs détectés
TTPs
[‘Exploitation d’une vulnérabilité d’upload de fichier non authentifiée pour RCE’, ‘Téléversement et déploiement de web shells pour persistance et contrôle’, ‘Utilisation de requêtes POST vers un endpoint applicatif exposé’, ‘Backdoor (Auto-Color) pour accès prolongé’]
IOCs
[‘Déploiement de web shells JSP: helper.jsp, cache.jsp’, ‘Présence du backdoor Auto-Color sur systèmes Linux’, ‘Hashs de fichiers spécifiques (non détaillés dans l’extrait)’]
🔗 Source originale : https://www.seqrite.com/blog/cve-2025-31324-sap-vulnerability-protection/