CVE‑2025‑31324 est une vulnérabilité critique de type zero-day (CVSS 10.0) dans le composant Visual Composer (VCFRAMEWORK) de SAP NetWeaver, rendue publique le 22 avril 2025. SAP a publié un correctif d’urgence le 24 avril 2025. SAP NetWeaver Visual Composer est souvent activé dans les systèmes NetWeaver Java — bien qu’il ne soit pas installé par défaut — car il permet aux analystes métier de créer des applications sans écrire de code. La vulnérabilité a été observée en cours d’exploitation active depuis mi-mars 2025 : les attaquants ont déployé des webshells JSP (ex. helper.jsp, cache.jsp) pour maintenir une persistance et exécuter des commandes avec les privilèges du processus système SAP.
| Produit | SAP NetWeaver |
| Date | 31-07-2025 10:30:37 |
| Informations |
|
Résumé technique
La faille découle d’un contrôle d’autorisation manquant dans le point de terminaison /developmentserver/metadatauploader de Visual Composer, qui permet à des attaquants non authentifiés de télécharger des fichiers arbitraires sur le serveur — entraînant une exécution de code à distance (RCE) avec les privilèges de l’application SAP. Après l’exploitation, les attaquants déposent généralement des webshells JSP malveillants dans des répertoires tels que /j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root/, obtenant ainsi un accès à distance et un contrôle total du système (aussi bien dans des environnements Linux que Windows). L’impact inclut la compromission complète de l’environnement SAP : les attaquants peuvent exécuter des commandes système, accéder aux bases de données, altérer des données financières ou des informations personnelles (PII), déployer des ransomwares, effectuer des mouvements latéraux dans le réseau et contourner les défenses. Toutes les versions de SAP NetWeaver Java 7.1x et supérieures sont vulnérables si Visual Composer est présent ou activé.
Recommandations
- Appliquer immédiatement la note de sécurité SAP 3594142 : elle fournit des correctifs d’urgence pour corriger l’absence de contrôle d’autorisation dans Visual Composer.
- Appliquer également la note de sécurité SAP 3604119 qui résout une vulnérabilité supplémentaire de désérialisation non sécurisée, éliminant les risques résiduels laissés par le premier correctif — même si la note 3594142 a déjà été implémentée.
- S’il n’est pas possible d’appliquer le correctif, mettre en œuvre la mesure d’atténuation « Option 0 » : supprimer complètement l’application
sap.com/devserver_metadataupload_earcomme recommandé par SAP. Les solutions temporaires précédentes, options 1 et 2, sont obsolètes. - Effectuer une évaluation de compromission à l’aide de scanners ou d’outils disponibles pour identifier les indicateurs de compromission (IoC) — rechercher des fichiers
.jsp,.java,.classinhabituels dans les répertoires pertinents et des noms de webshells connus tels que helper.jsp ou cache.jsp. - Vérifier les journaux d’accès HTTP ciblant le point de terminaison
/developmentserver/metadatauploaderpour détecter les tentatives d’exploitation. Utiliser une reconnaissance basée sur des modèles ou des noms de fichiers pour détecter les activités de webshell. - Pour la défense réseau, mettre en œuvre des protections telles que des règles de pare-feu ou une détection basée sur des signatures pour bloquer les tentatives d’exploitation, et utiliser des outils de détection d’actifs pour identifier les points de terminaison SAP NetWeaver exposés.
[Callforaction-THREAT-Footer]
Leave a Reply