logo SAP SE enterprise software development, German multinational software company, International Business Expansion, sustainable development in Technology, Frankfurt, Germany - February 08, 2024

Alerte: Exploit disponible pour menacer les acteurs de la vulnérabilité critique SAP S / 4HANA

Lucas Morel

SAP a publié un patch il y a quatre semaines pour ce trou, donc des systèmes non corrigés sont à risque.

Les administrateurs SAP S / 4HANA qui n’ont pas déjà installé un patch critique du 11 août pourraient être en difficulté: un exploit pour la vulnérabilité d’injection de code est déjà exploité dans la nature.

La vulnérabilité, CVE-2025-42957 (avec un score CVSS de 9,9) permet à un utilisateur peu privilégié de prendre le contrôle complet d’un système SAP par injection de code dans le langage de programmation ABAP de SAP. Toutes les versions S / 4HANA – le cloud privé et les locaux – sont vulnérables. Securitybridge, qui a rapporté jeudi avoir découvert l’exploit, a déclaré que l’exploitation réussie donne accès au système d’exploitation et accès complet à toutes les données du système SAP.

Si le patch n’a pas encore été installé, il devrait l’être immédiatement.

« Bien que l’exploitation généralisée n’ait pas encore été signalée », a déclaré jeudi Blog, basé en Allemagne, dans un blog, il a vérifié l’abus réel de cette vulnérabilité. « Cela signifie que les attaquants savent déjà l’utiliser, laissant les systèmes SAP non corrigés exposés », ont averti les chercheurs.

L’ingénierie inverse du patch pour créer un exploit est relativement facile dans le langage de programmation ABAP SAP, alerté SecurityBridge a ajouté, car le code ABAP est ouvert à quiconque peut le voir.

On ne sait pas combien d’administrateurs ont déjà installé le patch. « Cette vulnérabilité a été évaluée 9,9; (c’est) assez élevé », a déclaré Juan Pablo Perez-Exegegieu, CTO du vendeur de sécurité Onapsis, qui rapporte régulièrement des vulnérabilités SAP, dans une interview. « C’est le type de vulnérabilité qui attire l’attention des organisations. Nous pensons donc qu’un grand nombre d’organisations auraient pu appliquer le patch le jour du patch ou peu de temps après. » Bien que certains réseaux informatiques puissent avoir besoin de temps d’arrêt pour installer des correctifs SAP, il a ajouté que «notre attente est que la majorité des organisations auraient dû mettre en œuvre ces correctifs».

L’exploit pourrait conduire à de mauvaises décisions commerciales

  • Supprimer et insérer des données directement dans la base de données SAP;
  • Création d’utilisateurs SAP avec SAP_ALL;
  • Télécharger les hachages de mot de passe;
  • modifier les processus métier.

«Les systèmes ERP comme SAP sont une cible grave et souvent sous-estimée. S / 4HANA est une base de données en mémoire prenant en charge le système SAP ERP. Le compromis pourrait donner à un attaquant un accès non seulement aux données stockées dans le système SAP, mais parfois, plus dangereusement, un attaquant pourrait modifier les données, menant à de mauvaises décisions.

« Cette vulnérabilité pourrait combler une lacune importante dans l’arsenal d’un attaquant pour attaquer ces systèmes », a-t-il ajouté. « Ils auront toujours besoin de quelques informations d’identification, mais ils pourraient être des informations d’identification de bas niveau qu’ils ont trouvées via une autre attaque. »

La complexité de la plate-forme conduit à des vulnérabilités potentielles

SAP S / 4HANA n’est pas étranger aux vulnérabilités. En avril, par exemple, une vulnérabilité de contrefaçon de demande de site croisé (CVE-2025-31328) a été découverte dans le module de solution d’apprentissage de S / 4HANA. En février, une vulnérabilité de redirection ouverte a été trouvée dans le modèle Advanced Model Advanced (CVE-2025-24868) de S / 4HANA (CVE-2025-24868) qui permet à un attaquant non authentifié de créer un lien malveillant qui redirige une victime involontaire vers un site Web malveillant.

Eric Mehler, un CISO basé en allemand qui blogue sur les vulnérabilités de sécurité communes à S / 4HANA, a écrit que la complexité de la plate-forme peut introduire des vulnérabilités de sécurité potentielles, souvent en raison d’une erreur de configuration ou de surveillance. Ces problèmes incluent la conservation des comptes SAP par défaut qui utilisent toujours des mots de passe par défaut et des autorisations utilisateur excessives, permettant un trafic SAP non crypté ou un trafic avec des protocoles obsolètes comme TLS 1.0, une surveillance et une journalisation insuffisants et des pratiques de programmation ABAP non sécurisées.

« Les acteurs de la menace sont très actifs dans le ciblage des applications SAP », a déclaré Perez-Echegegoyen d’Onapsis. Le mois dernier, un exploit armé pour une vulnérabilité de jour zéro dans SAP Netweaver (CVE-23025-31324, un défaut d’authentification manquant) aurait été libéré par un gang, a-t-il noté. «Il est donc plus important que jamais pour les organisations d’intégrer la sécurité SAP dans leur paysage de sécurité informatique» et d’appliquer des patchs dès que possible.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

A young man in a white hat and a white and blue striped shirt juggles balls on a white background
La cybersécurité n’est pas sous-financée, elle est sous-gérée
Qui livre le Darknet | Chouette noire
Qui livre le Darknet | Chouette noire
Comment justifier vos investissements en sécurité
Comment justifier vos investissements en sécurité