Détection CVE-2025-31324 : Une vulnérabilité Zero-Day dans SAP NetWeaver exposant les systèmes critiques à une exécution de code à distance sous exploitation active
Table des matières :
Les vulnérabilités zero-day ne sont plus de rares anomalies – elles sont désormais une arme essentielle dans l’arsenal des attaquants modernes, avec une activité d’exploitation qui s’intensifie d’année en année. Selon le Threat Intelligence Group de Google (GTIG), rien qu’en 2024, 75 vulnérabilités zero-day ont été exploitées dans la nature – un indicateur clair de la menace croissante pour les systèmes critiques pour les entreprises.
L’une des dernières vulnérabilités critiques à émerger, CVE-2025-31324, est une faille de téléchargement de fichiers non authentifiée de gravité maximale qui affecte SAP NetWeaver, une plateforme centrale largement utilisée à la fois par les gouvernements et les grandes entreprises. Avec plus de 1 200 instances de SAP NetWeaver exposées à Internet à risque, CVE-2025-31324 constitue une menace significative, permettant une compromission complète du système.
Détecter l’exploitation de la vulnérabilité CVE-2025-31324
En 2024, GTIG a identifié 33 vulnérabilités zero-day exploitées dans les logiciels et appareils d’entreprise – des technologies principalement utilisées dans les environnements professionnels. Notamment, 44 % de tous les zero-days l’année dernière ont ciblé des produits d’entreprise, marquant une nette augmentation de l’attention des attaquants sur les infrastructures critiques pour les affaires. Pour atténuer efficacement les risques potentiels, les équipes de sécurité doivent se concentrer sur des stratégies d’identification précoce et de réponse rapide qui devancent les menaces émergentes exploitant des vulnérabilités nouvellement divulguées.
Inscrivez-vous à la plateforme SOC Prime et accédez à un ensemble de règles Sigma organisées concernant les tentatives d’exploitation de CVE-2025-31324 ainsi qu’à une suite complète de produits pour l’ingénierie de détection alimentée par l’IA, la recherche automatisée de menaces et la détection avancée des menaces. Il suffit d’appuyer sur le Explorer les Détections bouton ci-dessous pour accéder immédiatement à une pile de détection pertinente.
Toutes les règles sont compatibles avec plusieurs technologies SIEM, EDR et Data Lake, et mappées à MITRE ATT&CK® pour simplifier l’enquête sur les menaces. De plus, chaque règle est enrichie de métadonnées approfondies, y compris CTI des références, des chronologies d’attaque, des configurations d’audit, des recommandations de triage, et plus encore.
Les cyber défenseurs à la recherche de contenu plus pertinent pour détecter des cyberattaques exploitant des vulnérabilités à la mode peuvent accéder à l’ensemble complet des algorithmes de détection pertinents en recherchant le Marché de Détection des Menaces avec le tag «CVE ».
De plus, les professionnels de la sécurité peuvent simplifier l’enquête sur les menaces en utilisant Uncoder AI – un IDE privé et co-pilote pour l’ingénierie de détection informée par les menaces – désormais entièrement gratuit et disponible sans limites de jetons sur les fonctionnalités IA. Générez des algorithmes de détection à partir de rapports de menaces bruts, permettez des balayages rapides des IOC dans des requêtes optimisées pour les performances, prédisez des étiquettes ATT&CK, optimisez le code des requêtes avec des conseils IA, traduisez-le dans plusieurs langues SIEM, EDR et Data Lake.
Analyse de CVE-2025-31324
Divulgué par SAP le 24 avril 2025, et traité dans leur Patch de sécurité d’avril 2025, CVE-2025-31324 est une vulnérabilité de téléchargement de fichiers non authentifiée qui a un score CVSS v3 maximum de 10,0. Le défaut provient d’un manque de vérification d’autorisation dans le composant Metadata Uploader, permettant à des attaquants non authentifiés d’envoyer des requêtes POST spécialement conçues à l’ /developmentserver/metadatauploader point de terminaison. Cela conduit à des téléchargements de fichiers non autorisés pouvant entraîner l’exécution de code à distance (RCE) et une compromission complète du système.
Malgré le correctif en place, l’équipe de Managed Detection and Response (MDR) de Rapid7 a confirmé l’exploitation active de la vulnérabilité remontant au 27 mars 2025, en particulier dans le secteur manufacturier.
Les acteurs de menace ont utilisé la faille pour télécharger des web shells malveillants basés sur JSP vers le répertoire :
j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root/, permettant un accès distant persistant, une exécution de code et une exfiltration de données. Ces web shells légers sont accessibles via de simples requêtes GET, transformant efficacement les serveurs SAP vulnérables en rampes de lancement contrôlées par les attaquants, comme le indiquent les recherches de ReliaQuest.
Certains incidents ont également impliqué l’application d’outils comme le cadre de post-exploitation Brute Ratel C4 , et ont utilisé des techniques d’évasion telles que Heaven’s Gate pour contourner les défenses des points de terminaison – soulignant la nature professionnelle des acteurs de menace impliqués.
Notamment, le composant vulnérable Metadata Uploader fait partie de la pile Java SAP NetWeaver, bien qu’il ne soit pas installé par défaut. Cependant, les chercheurs d’Onapsis ont noté que de nombreuses organisations activent cette fonctionnalité pour permettre aux spécialistes des processus métier de créer des applications d’entreprise sans le besoin de codage traditionnel. L’analyse d’Onapsis a révélé que les attaquants exploitant CVE-2025-31324 peuvent installer des web shells fournissant un accès de niveau administratif à l’ensemble de l’environnement SAP, y compris une entrée illimitée à la base de données du système. Avec ce niveau d’accès, les attaquants peuvent déployer des ransomwares, perturber les applications SAP, exfiltrer des données, ou mener une large gamme d’actions malveillantes.
Pour minimiser les risques d’exploitation de zero-days similaires et d’autres CVE connus, la plateforme SOC Prime fournit aux équipes de sécurité une suite complète de produits construite sur une fusion unique de technologies, soutenue par l’IA et l’automatisation, et alimentée par des informations sur les menaces en temps réel pour aider les organisations mondiales à travers plusieurs secteurs industriels et environnements divers à faire évoluer leurs opérations SOC. Inscrivez-vous maintenant pour surpasser les menaces cybernétiques et rester au sommet de toute potentielle cyberattaque contre votre entreprise.
