Bulletins de Sécurité

Vous êtes confronté à un cyber-incident ?

Notre équipe est à votre disposition en 24/7 au 01 85 09 12 35 et par email cert@login-securite.com

Vulnérabilité critique dans SAP NetWeaver

Score CVSS :
10
Date de publication :
24/4/2025
Date de dernière mise à jour :
25/4/2025
vulnerability icon thumbnail logy cybersecurity

Produits concernés

  • SAP NetWeaver (Visual Composer development server) versions VCFRAMEWORK 7.50 sans le dernier correctif de sécurité

Prérequis

  • Composant Visual Composer development server activé
  • Accès à l’interface web de SAP NetWeaver

Risques

  • Exécution de code à distance sur le serveur hébergeant la solution
  • Fuite de données sensibles
  • Déploiement de malware sur l’actif
  • Accès au réseau interne de l’entreprise

Résumé

SAP a publié un avis de sécurité le 24 avril 2025 concernant une vulnérabilité critique affectant sa solution SAP NetWeaver, plus particulièrement le composant Visual Composer development server.

Cette vulnérabilité (CVE-2025-31324) permet à un attaquant non authentifié de téléverser un fichier malveillant via l’interface web de SAP NetWeaver, conduisant à une compromission du serveur, et pouvant aller jusqu’à la compromission complète de l’infrastructure. Cette vulnérabilité est considérée comme très simple à exploiter, dès lors que les prérequis sont validés.

Il est possible de vérifier que le composant vulnérable Visual Composer development server est activé au travers de l'URL http://hote:port/nwa/sysinfo afin de chercher la présence du composant  VISUAL COMPOSER FRAMEWORK (VCFRAMEWORK.SCA ou VCFRAMEWORK). Si la ligne indique NO, le composant n'est pas installé. Dans ce cas, le progiciel ne semble pas vulnérable
Bien que le composant Visual Composer development server ne soit pas installé par défaut, il est activé sur une majorité d’instances SAP NetWeaver actuellement déployées.

Des preuves d’exploitation dans la nature ont été observées sur des systèmes SAP exposés sur Internet, y compris sur des instances récemment mises à jour. SAP a reconnu publiquement cette vulnérabilité le 22 avril 2025.

Etant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre.

Solutions

Détection de la compromission :

Afin de vérifier si un équipement est compromis, vérifier la présence de fichiers avec les extensions .jsp, .java ou .class dans les chemins suivants :

  • C:\usr\sap\SID\InstanceID\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\root
  • C:\usr\sap\SID\InstanceID\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work
  • C:\usr\sap\SID\InstanceID\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work\sync

La présence de tels fichiers constitue un indicateur fort de compromission.

Il est également possible de vérifier les journaux du serveur web afin d’analyser les accès à l’URL/developmentserver/metadatauploader concernée par le téléversement de fichier, ainsi que l’accès à des fichiers malveillants via les URLs /irj/helper.jsp ; /irj/cache.jsp ou /irj/\\w{8}.jsp

Remédiation :

Mettre à jour le composant Visual Composer Framework vers les version présentes dans le bulletin https://me.sap.com/notes/3594142.

Il est nécessaire de s’assurer que l’équipements n’a pas été compromis avant la mise à jour.

Mitigations :

SAP propose des solutions de contournement dans le bulletin https://me.sap.com/notes/3593336/

Désactiver le Visual Composer ou restreindre l’accès à l’URL developmentserver.

Références

Restez informés des dernières menaces !

Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

Merci pour votre inscription !
Oups ! Une erreur est survenue lors de l'envoi du formulaire.
Nos offresNos ExpertisesLe groupe Constellation
Notre équipeNous rejoindreBlog
Urgences CyberInformations SOCCommander un Test d'Intrusion
Conditions Générales de VentesMentions légalesNous contacter
©2024 Login Sécurité | Mentions légales et Politique de confidentialité