Les entreprises utilisant SAP NetWeaver sont exposées à un risque élevé en raison d’une vulnérabilité activement exploitée. Le NCSC et SAP exhortent à installer immédiatement les mises à jour de sécurité et un correctif d’urgence.
SAP et le Centre national néerlandais de cybersécurité (NCSC) signalent une exploitation active de CVE-2025-31324, une vulnérabilité dans le composant Visual Composer de SAP NetWeaver. Les attaquants exploitent cette faille pour obtenir un accès non authentifié aux systèmes. Ils peuvent ensuite télécharger des fichiers malveillants et des webshells. Ces outils leur permettent d’obtenir un accès persistant au système, même après un redémarrage ou d’autres interventions.
Correctif d’urgence
Le Digital Trust Center aux Pays-Bas et SAP soulignent que le correctif d’urgence doit être installé immédiatement. La menace est classée comme grave : tant la probabilité d’exploitation que les dommages potentiels sont importants. Entre-temps, les webshells sont activement échangés sur le dark web, ce qui augmente le risque d’attaques à grande échelle.
La vulnérabilité affecte notamment SAP NetWeaver Application Server Java, où Visual Composer est souvent activé, bien qu’il ne soit pas installé par défaut. Visual Composer permet de développer des applications sans connaissances en programmation, mais contient une erreur dans le composant Metadata Uploader. Cela permet aux criminels de télécharger des fichiers via des requêtes HTTP sans se connecter.
Exploitation active
Selon la société de sécurité Onapsis, la faille fait l’objet de scans depuis janvier 2025 et des attaques réussies sont signalées depuis mars. Plusieurs organisations ont confirmé avoir été compromises. La CISA américaine a ajouté CVE-2025-31324 à la liste des vulnérabilités connues activement exploitées le 29 avril.
En plus du correctif d’urgence, SAP a également publié des directives pour les clients qui ne peuvent pas (encore) effectuer la mise à jour. Il leur est notamment possible de supprimer complètement le composant vulnérable. Onapsis et Mandiant ont également mis à disposition des scanners et des règles YARA pour détecter les indicateurs de compromission.
Les utilisateurs de SAP seraient bien avisés de vérifier immédiatement leurs systèmes pour la présence de Visual Composer (VCFRAMEWORK) et de rechercher des fichiers suspects tels que helper.jsp et cache.jsp. Si ces derniers sont trouvés, le système est probablement compromis.