Afiq Sam - stock.adobe.com

Actualites

Vulnérabilité SAP NetWeaver : au tour des rançongiciels

Les premières traces d’exploitation de la vulnérabilité CVE-2025-31324 pointaient vers des acteurs liés aux autorités chinoises. Des acteurs affiliés aux groupes de ransomware BianLian et RansomExx seraient entrés dans la danse.

Valéry Rieß-Marchive
par
Publié le: 15 mai 2025

Appliquer les correctifs pour la vulnérabilité CVE-2025-31324 apparaît plus urgent que jamais. 

Pour mémoire, il s’agit d’une vulnérabilité critique affectant SAP NetWeaver 7.xx lorsque le composant « SAP Visual Composer » est activé. Son exploitation réussie permet, sans authentification, de forcer l’exécution à distance de code arbitraire sur l’instance affectée.

Référencée CVE-2025-31324, cette vulnérabilité s’est vue attribuer un score CVSS de 10, le maximum. Les équipes d’Onapsis ont eu, plus tôt en avril, la preuve de l’exploitation active de cette vulnérabilité, alors inconnue. Selon ce spécialiste de la sécurité des systèmes SAP, « si le composant SAP Visual Composer est optionnel […], ce composant est installé et activé sur au moins 50 % des systèmes Java ». Il pourrait même l’être sur 70 % d’entre eux, du fait de « sa grande utilité pour assister les spécialistes des processus métiers dans le développement de composants métiers dans “coder” ».

Fin avril, Onyphe.io avait recensé 3 716 instances SAP NetWeaver exposées sur Internet, dont 1 284 affectées par la vulnérabilité. Près de 40 % de ces dernières étaient déjà compromises, soit 474.

Selon les chercheurs de ForeScout et d’EclecticIQ, les premières exploitations de la CVE-2025-31324 étaient le fait d’acteurs malveillants en Chine. Mais ils ne sont plus seuls.

Selon ReliaQuest, des acteurs du monde du rançongiciels s’y sont récemment mis. Dans un billet de blog, ses équipes expliquent estimer, « avec un confiance moyenne », que BianLian a été impliqué « dans au moins un incident ». Elles s’appuient notamment sur une adresse IP précédemment identifiée comme serveur de commande et de contrôle (C2) associé aux activités de cette enseignement de ransomware.

Dans le cadre d’un second incident, elles indiquent avoir constaté le déploiement de « PipeMagic », « une porte dérobée modulaire liée à RansomExx. L’examen de l’activité réseau associée a renvoyé à un nom de domaine liée « tant à PipeMagic qu’à RansomExx ». Ce maliciel « a été déployé quelques heures après l’exploitation globale impliquant les webshells helper.jsp et cache.jsp ».

Pour approfondir sur Menaces, Ransomwares, DDoS