SAP NetWeaver : une vulnérabilité dont l’exploitation renvoie à la Chine

C’est fin avril qu’a été levé le voile sur une vulnérabilité critique affectant SAP NetWeaver 7.xx lorsque le composant « SAP Visual Composer » est activé. Son exploitation réussie permet, sans authentification, de forcer l’exécution à distance de code arbitraire sur l’instance affectée.

Référencée CVE-2025-31324, cette vulnérabilité s’est vue attribuer un score CVSS de 10, le maximum. Les équipes d’Onapsis ont eu, plus tôt en avril, la preuve de l’exploitation active de cette vulnérabilité, alors inconnue. Selon ce spécialiste de la sécurité des systèmes SAP, « si le composant SAP Visual Composer est optionnel […], ce composant est installé et activé sur au moins 50 % des systèmes Java ». Il pourrait même l’être sur 70 % d’entre eux, du fait de « sa grande utilité pour assister les spécialistes des processus métiers dans le développement de composants métiers dans “coder” ».

Onyphe.io avait recensé 3 716 instances SAP NetWeaver exposées sur Internet, dont 1 284 affectées par la vulnérabilité. Près de 40 % de ces dernières sont déjà compromises, soit 474.

Dans un billet de blog, les équipes de ForeScout indiquent avoir observé, chez leurs clients, des tentatives d’exploitation concernant « principalement les environnements de production, où les systèmes SAP compromis peuvent avoir des répercussions importantes sur les opérations et la sécurité ». Ces constatations ont fait ressortir 13 adresses IP uniques.

L’une de ces adresses a fait ressortir un Shell inversé en mode Web, écrit en Go, appelé SuperShell. Il est attribué à un développeur sinophone appelé « tdragon6 ». 

De là, les chercheurs de ForeScout ont cartographié l’infrastructure de l’attaquant. Pour aboutir à un bilan clair : « l’utilisation de fournisseurs de services en cloud chinois et de plusieurs outils en chinois indique que l’auteur de la menace est probablement basé en Chine ». Il est désigné par la référence Chaya_004.

Chez EclecticIQ, Arda Büyükkaya et ses collègues « établissent un lien entre les intrusions SAP NetWeaver observées et les unités de cyberespionnage chinoises, notamment UNC5221, UNC5174 et CL-STA-0048 ». 

Cette évaluation, explique-t-il, « est basée sur un répertoire exposé publiquement (opendir), trouvé sur une infrastructure contrôlée par l’attaquant qui contenait des journaux d’événements détaillés capturant des opérations sur plusieurs systèmes compromis ».

Et de rappeler que « les chercheurs de Mandiant et de Palo Alto estiment que ces groupes sont liés au ministère chinois de la Sécurité d’État (MSS) ou à des entités privées affiliées ». Ceux-ci « opèrent stratégiquement pour compromettre des infrastructures critiques, exfiltrer des données sensibles et maintenir un accès permanent à des réseaux de grande valeur dans le monde entier ».