Des cybercriminels chinois exploitent une vulnérabilité critique dans SAP NetWeaver

Les chercheurs de la société américaine de cybersécurité Forescout ont lié une campagne d'exploitation d'une vulnérabilité sur des instances SAP NetWeaver à un nouveau groupe de pirates chinois. Baptisée CVE-2025-31324, cette vulnérabilité présente un score de sévérité critique (CVSS 10). Il s'agit d'une faille de désérialisation, qui affecte l'outil Visual Composer de NetWeaver et permet de créer visuellement des applications métiers.

Des fichiers malveillants téléchargés sans authentification

L'exploitation réussie de cette vulnérabilité permet aux cybercriminels de télécharger des fichiers malveillants sans se connecter, d'exécuter du code à distance (RCE) et de déployer des web shells JSP (Java Server Pages) et des backdoors, donnant un accès intégral au serveur. Sans correctif adéquat, cette faille est susceptible d'entraîner une interruption de service, une fuite de données (API internes, configurations système, méthodes d'authentification et données d'identification) ou encore des mouvements latéraux vers d'autres outils de l'éditeur allemand.

La faille de sécurité 0-day CVE-2025-31324 a été découverte pour la première fois en avril par la société ReliaQuest après plusieurs incidents, sans informations concrètes sur l'origine des cybercriminels. Ces campagnes ont ensuite été confirmées par d'autres entreprises, dont Mandiant, qui a observé une activité malveillante remontant à la mi-mars. SAP a publié le 24 avril un correctif, soit après la mise à jour mensuelle d'avril.

Chaya_004, un nouveau groupe qui cible de nombreux secteurs

Forescout explique que cette vulnérabilité a été exploitée par la suite, à partir du 29 avril, par un groupe de pirates chinois intitulé Chaya_004. Découvert cette année, ce gang ciblerait de nombreux secteurs d'activité, depuis l'énergie jusqu'à l'industrie pharmaceutique en passant par le secteur public. La société américaine a identifié plusieurs adresses IP liées aux cyberattaques utilisant des certificats auto-signés inhabituels en se faisant passer pour Cloudflare. Les ASN (ensembles de réseaux) comptant le plus d'adresses IP étaient tous basés en Chine, appartenant à des fournisseurs cloud comme Alibaba, Tencent et Huawei.

Afin de réduire les risques liés à cette vulnérabilité, Forescout recommande, en dehors d'appliquer les correctifs, de restreindre l'accès aux services de téléchargement de métadonnées, en utilisant des pare-feu ou SAP Web Dispatcher. La société conseille également de désactiver Visual Composer s'il n'est pas essentiel et de s'assurer que les endpoints potentiellement vulnérables sont inclus dans les pentests et analyses de sécurité.

La CISA et l'Anssi mettent en garde

L'agence de cybersécurité américaine, la CISA, a émis un avis et intime les agences fédérales américaines de prendre les mesures adéquates d'ici au 20 mai. L'Agence nationale de sécurité des systèmes d'information (Anssi) a de son côté publié une alerte le 28 avril en fournissant la marche à suivre à partir des indicateurs de compromission.

Sélectionné pour vous

Apple alerte des journalistes, militants et politiques visés par des logiciels espions sophistiqués

SentinelOne rachète Observo AI pour améliorer l'exploitation des données de sécurité

L'Otan migre ses applications critiques vers Oracle