Les attaquants ont essayé de chaîner le bug SAP Netweaver qui vient de paraire avec le rat Linux de couleur automatique furtif pour un compromis à plusieurs étapes.
Les acteurs de la menace ont récemment tenté d’exploiter un défaut de réseaux SAP de SAP MAX-Severity fraîchement corrompu pour déployer un «Trojan à accès à distance persistant (rat)« auto-couleur ».
Selon un rapport Darktrace, une récente attaque a abusé de la faille pour mettre en place un compromis furtif au stade avancé, mais a été rapidement contenu par sa «réponse autonome».
Nouvel apparition SAP Exploit-Malware
L’exploitation de la vulnérabilité critique CVE-2025-31324 de SAP permet aux acteurs malveillants de télécharger des fichiers sur le serveur d’applications SAP Netweaver, conduisant potentiellement à l’exécution du code distant (RCE) et à un compromis complet du système.
Dans ce cas, les attaquants ont exploité la faille – divulguée quelques jours plus tôt – pour livrer une charge utile de format exécutable et lien (ELF) sur un serveur NetWeaver orienté Internet. Une fois installé, le malware s’adapte aux privilèges de l’utilisateur. Avec l’accès root, il implique une bibliothèque malveillante «libcext.so.2» et se cache dans des répertoires de type système. Sans racine, il garde un profil bas tout en essayant d’atteindre ses serveurs C2 sur TLS.
Auto-Color, vu pour la première fois en 2024, cible les systèmes Linux à travers des techniques telles que l’injection d’objets partagés et la persistance «ld.so.preload». Chaque échantillon porte un fichier unique et une configuration C2 cryptée, ce qui le rend difficile à détecter.
Jonathan Stross, analyste SAP Security chez Pathlock, a déclaré que l’attaque met en évidence la nécessité de plier les défenses SAP en opérations informatiques de base. « CVE-2025-31324 est un réveil pour chaque organisation qui dirige SAP », a-t-il déclaré. «La lutte contre les menaces, comme les logiciels malveillants de porte dérobée en couleur automatique, nécessite une collaboration inter-départementale. Les équipes SAP, les opérations informatiques et la sécurité doivent fonctionner ensemble, partager l’expertise et s’assurer que les systèmes SAP ne sont pas traités comme des actifs cloisonnés.»
Auto-Color est nommé pour le renommer lui-même, après exécution, à «/ var / log / cross / auto-coulor /». Le rat accroche et remplace généralement les fonctions du système central tout en maintenant la persistance.
L’attaque s’est arrêtée sur ses traces
Les analystes de DarkTrace ont détecté le téléchargement de l’elfe suspect et une rafale de DNS impairs et de connexions SSL à une infrastructure malveillante connue. La tenue de cybersécurité britannique affirme que sa «réponse autonome» est intervenue en quelques minutes, restreignant l’appareil à ses activités légitimes et légitimes tandis que les analystes ont étudié un comportement inhabituel.
Les chercheurs de Darktrace ont déclaré que les logiciels malveillants étaient au point mort lorsqu’il ne pouvait pas atteindre son C2, révélant une tactique de suppression intégrée pour échapper à l’analyse du bac à sable. Les actions de confinement ont été prolongées pendant 24 heures, ce qui donne au client le temps de remédier.
Plus de nouvelles de sécurité SAP:
- Les défauts de GUI SAP exposent des données sensibles via un cryptage faible ou pas
- SAP Patches des vulnérabilités sévères dans les applications de NetWeaver et Commerce
- Les clients SAP Netweaver ont demandé à déployer des patchs pour une vulnérabilité critique à zéro
