CVE-2025-31324

📋 Contexte : Le CERT-EU, service de cybersécurité des institutions, organes et agences de l’Union européenne, publie le 8 avril 2026 son rapport annuel sur le paysage des menaces cyber pour l’année 2025 (TLP:CLEAR). Ce rapport s’appuie sur l’analyse des activités malveillantes d’intérêt (MAI) collectées tout au long de 2025, avec une expansion significative de l’usage de l’automatisation et de l’IA dans les processus de surveillance. 🎯 Acteurs et origines : En 2025, 174 acteurs malveillants distincts ont été identifiés (contre 110 en 2024). Les activités liées à la Chine représentent 37% des MAI attribuées, suivies par la Russie (32%), la Corée du Nord (11%) et l’Iran (7%). Les acteurs liés à la Chine ont principalement exploité des vulnérabilités et des compromissions de chaîne d’approvisionnement. Les acteurs liés à la Russie ont ciblé prioritairement les entités soutenant l’Ukraine. ...

🔍 Contexte Publié le 16 mars 2026 par le Google Threat Intelligence Group (GTIG), ce rapport analyse les tactiques, techniques et procédures (TTPs) observées lors des incidents ransomware traités par Mandiant Consulting en 2025. Il couvre des victimes situées en Asie-Pacifique, Europe, Amérique du Nord et du Sud, dans presque tous les secteurs d’activité. 📊 Paysage ransomware 2025 Record historique de posts sur les Data Leak Sites (DLS) en 2025, dépassant 2024 de près de 50% La rentabilité globale est en déclin : taux de paiement de rançon au plus bas historique en Q4 2025 (Coveware), demande moyenne réduite d’un tiers à 1,34 M$ en 2025 contre 2 M$ en 2024 (Sophos) Près de la moitié des victimes ont pu restaurer depuis des sauvegardes en 2024 (contre 28% en 2023 et 11% en 2022) LockBit, ALPHV, Basta et RansomHub ont été perturbés ou ont disparu ; Qilin et Akira ont comblé le vide REDBIKE (Akira) est la famille ransomware la plus déployée : ~30% des incidents Montée en puissance des opérations de data theft extortion seule (sans chiffrement) Ciblage croissant des petites organisations (moins de 200 employés) Adoption de technologies Web3 (ICP blockchain, Polygon smart contracts) pour la résilience des infrastructures Intégration de l’IA dans les opérations (négociations, analyse des victimes) Doublement des familles ransomware cross-platform (Windows + Linux) 🎯 Vecteurs d’accès initial Exploitation de vulnérabilités : 1/3 des incidents (VPNs et firewalls principalement) Fortinet : CVE-2024-21762, CVE-2024-55591, CVE-2019-6693 SonicWall : CVE-2024-40766 Palo Alto : CVE-2024-3400 Citrix : CVE-2023-4966 Microsoft SharePoint : CVE-2025-53770, CVE-2025-53771 (zero-day par UNC6357) SAP NetWeaver : CVE-2025-31324 CrushFTP : CVE-2025-31161 CVE-2025-8088 exploité en zero-day par UNC2165 CVE-2025-61882 exploité contre Oracle EBS (CL0P) Credentials volés : 21% des incidents identifiés (VPN, RDP) Malvertising / SEO poisoning : UNC6016 (→ NITROGEN, RHYSIDA), UNC2465 (→ SMOKEDHAM) Bruteforce : attaques prolongées sur VPNs (ex. Daixin sur près d’un an) Accès via subsidiaires ou tiers (réseaux intermédiaires) Ingénierie sociale : UNC5833 via Microsoft Teams + Quick Assist 🔧 TTPs post-compromission Établissement de foothold : ...

Selon Seqrite, une vulnérabilité critique CVE-2025-31324 affecte SAP NetWeaver Development Server et est activement exploitée depuis mars 2025, avec une intensification après la publication d’un exploit public en août 2025. 🚨 Impact et portée: La faille permet une exécution de code à distance (RCE) par des attaquants non authentifiés, conduisant à une compromission complète des environnements SAP. Les risques incluent vol de données, mouvement latéral et perturbation des opérations. Plus de 1 200 serveurs exposés ont été identifiés, avec des intrusions confirmées dans plusieurs secteurs. ...

L’article publié par EclecticIQ met en lumière une campagne d’exploitation menée par des APT (advanced persistent threat) liés à la Chine en avril 2025. Ces acteurs ont ciblé les réseaux d’infrastructures critiques en exploitant une vulnérabilité dans SAP NetWeaver Visual Composer. Les attaquants ont utilisé la vulnérabilité CVE-2025-31324, qui permet l’exécution de code à distance via un téléchargement de fichier non authentifié. Cette évaluation repose sur un répertoire exposé publiquement, contrôlé par les attaquants, contenant des journaux d’événements détaillés des systèmes compromis. ...

Une information publiée le 28 avril 2025 révèle qu’une vulnérabilité de téléchargement de fichiers non authentifiée de gravité maximale affecte plus de 1200 instances de SAP NetWeaver exposées sur Internet. Cette vulnérabilité est activement exploitée par des attaquants pour prendre le contrôle des serveurs. SAP NetWeaver est une plateforme de technologie intégrée pour toutes les applications SAP. Elle fournit la base technique pour une grande variété de produits SAP. La vulnérabilité permet aux attaquants de télécharger des fichiers sans avoir besoin de s’authentifier, ce qui peut potentiellement conduire à un détournement de serveur. Les utilisateurs de SAP NetWeaver sont donc fortement encouragés à mettre à jour leurs systèmes pour corriger cette vulnérabilité. ...