Mastodon

Une vulnérabilité critique impactant la plateforme technique SAP NetWeaver de SAP identifiée par la référence CVE-2025-31324, vient de voir le jour. Elle obtient un score CVSS v3.1 de 10.

Les versions suivantes de SAP NetWeaver sont impactées : NetWeaver (Visual Composer development server), version VCFRAMEWORK 7.50 sans le dernier correctif de sécurité. Il convient de porter une attention particulière à cette vulnérabilité CVE-2025-31324 car des preuves de concept sont disponibles publiquement et des attaques exploitant cette vulnérabilité sont en cours.

 

Le vecteur initial de la vulnérabilité SAP

La vulnérabilité permet à un attaquant non-authentifié de téléverser des fichiers et de les exécuter à distance sur le serveur SAP. Les attaques en cours ont, entre autres, fait l’usage de charge virale issue de Brute Ratel lors de l’exploitation de cette vulnérabilité.

 

Les détails techniques de la vulnérabilité SAP

Une requête POST spécialement forgée transmise à la route /developmentserver/metadatauploader de la solution SAP permet d’outrepasser les vérifications d’authentification et ainsi transférer un fichier au contenu arbitraire sur le serveur.

Dans les cas d’attaques relatées, il s’agissait d’un webshell JSP permettant ensuite de prendre le contrôle du serveur à distance.

 

La modélisation de l'attaque avec MITRE ATT&CK

MITRE ATT&CK

  • T1190 (Exploit Public-Facing Application)

 

Les moyens de protections avec Stormshield Network Security face à la vulnérabilité SAP

Protection face à la CVE-2025-31324

Les firewalls Stormshield Network Security (SNS) détectent et bloquent par défaut l’exploitation de la CVE-2025-29927 via une alarme IPS :

  • http:client:107: Exploitation d'une vulnérabilité de type import de fichier dans SAP NetWeaver (CVE-2025-31324)

Pour que cette alarme fonctionne efficacement, le trafic doit être déchiffré.

Indice de confiance de la protection proposée par Stormshield

Indice de confiance de l’absence de faux positif

Recommandations face à la vulnérabilité SAP

Il est ainsi fortement recommandé d’appliquer les dernières mises à jour de sécurité sur vos plateformes SAP de Business Intelligence.

La note de publication officielle est disponible ici, après authentification.

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Un besoin de précision sur les protections Stormshield ? Les équipes du Support Technique sont à votre disposition pour vous accompagner au mieux. Contactez-les par le biais du gestionnaire d’incidents situé dans l’espace privé MyStormshield. Pour y accéder, sélectionnez le menu « Support technique / Rapporter un incident / Suivre un incident ».
L’équipe de Cyber Threat Intelligence de Stormshield remplit deux missions principales : étudier les menaces cyber pour les comprendre et améliorer en continu les protections des produits de Stormshield. Le tout, dans l’optique de contribuer à l’effort de la communauté de la cybersécurité pour faire face aux menaces cyber.