contrôle à distance facilitée
19 août 2025 — Un exploit combinant deux vulnérabilités critiques de SAP NetWeaver, désormais corrigées, est désormais public. Cette chaîne d’attaques permet à des attaquants non authentifiés de contourner l’authentification et d’exécuter du code à distance, compromettant potentiellement les données métiers et les processus internes. ({The Hacker News})
1. Les vulnérabilités exploitées
Deux failles ont été mises en chaîne pour orchestrer l’attaque :
CVE-2025-31324 (CVSS : 10.0) – défaut de vérification de l’autorisation dans le composant Visual Composer development server de SAP NetWeaver, permettant à un attaquant non authentifié d’uploader un fichier malveillant ({The Hacker News}).
CVE-2025-42999 (CVSS : 9.1) – vulnérabilité de désérialisation non sécurisée dans le même composant, exploitable pour exécuter le fichier malveillant téléchargé avec des privilèges élevés ({The Hacker News}).
En exploitant ces deux vulnérabilités consécutivement, un attaquant peut contourner l’authentification, charger un payload, puis le déployer sur le serveur ciblé.
2. Méthode d’exploitation et potentiel de compromission
Les spécialistes de la sécurité chez Onapsis ont alerté que cet exploit permet non seulement l’installation de web shells, mais aussi la mise en place d’attaques de type living off the land (LotL), exécutant des commandes systèmes sans laisser de trace sur le disque. Les actions s’effectuent avec les privilèges SAP administrator, donnant un contrôle quasi total sur les données et processus SAP. ({The Hacker News})
3. Enjeux et contexte plus large
La publication de ce gadget de désérialisation est particulièrement préoccupante : il peut être réemployé dans d’autres contextes ou dans des variantes de failles corrigées récemment par SAP ({The Hacker News}).
Cette vulnérabilité fait suite à une série de correctifs publiés par SAP en juillet 2025, couvrant notamment cinq vulnérabilités avec des scores critiques (CVE-2025-30012, 42963, 42964, 42966, 42980, toutes entre 9.1 et 10) ({The Hacker NewsSecurityWeek}).
4. Recommandations de défense
| Vecteur | Recommandation |
|---|---|
| Correctif urgent | Appliquer immédiatement les patches pour les CVE-2025-31324 et CVE-2025-42999. |
| Limiter l’accès Internet | Restreindre l’exposition des services SAP, notamment Visual Composer. |
| Surveillance et détection | Mettre en place une détection des uploads non autorisés et d’un comportement de désérialisation anormal. |
| Audit régulier | Vérifier les journaux SAP pour toute activité suspecte liée au développement ou à des uploads depuis MUI. |
| Plan de réponse incident | Préparer un protocole IR spécifique à SAP pour isoler, analyser et nettoyer rapidement en cas de compromission. |
5. Conclusion stratégique
La mise à disposition publique d’un exploit permettant d’enchaîner ces deux failles dans SAP NetWeaver représente une menace majeure. Cette brèche illustre combien même des systèmes essentiels à l’activité des organisations peuvent être compromis sans que les utilisateurs s’en aperçoivent. Pour protéger leurs infrastructures, les entreprises doivent :
Mettre à jour sans délai,
Sécuriser leurs interfaces exposées,
Renforcer leurs capacités de détection comportementale.
Cette faille est un rappel brutal que la sécurité des systèmes SAP ne se limite pas à la correction des bugs, mais nécessite une stratégie proactive et résiliente. Souhaitez-vous une version condensée pour une communication exécutive ou un dossier technique prêt à être intégré aux politiques de sécurité ?