La faille de téléchargement de fichiers sans restriction est probablement exploitée par un courtier d’accès initial pour déployer des shells Web JSP qui accordent un accès complet aux serveurs et permettent d’installer des charges utiles de logiciels malveillants supplémentaires.
Les attaquants exploitent une vulnérabilité critique du zéro-jour dans le composant Visual Composer du serveur d’applications SAP Netweaver depuis le début de cette semaine. SAP a publié un correctif hors bande disponible via son portail d’assistance et il devrait être appliqué immédiatement, en particulier sur les systèmes directement exposés à Internet.
La vulnérabilité, suivie en CVE-2025-31324, a reçu le score de gravité maximal de 10 sur l’échelle CVSS. Les clients doivent appliquer le correctif dans SAP Security Note 3594142 (nécessite une authentification), mais s’ils ne peuvent pas immédiatement, ils doivent désactiver ou empêcher l’accès au composant vulnérable en suivant les instructions de SAP Note 3596125, ont déclaré des chercheurs de la société de sécurité axée sur SAP ONAPSIS dans un avis.
Le courtier d’accès initial déploie des coquilles Web non sécurisées
Les attaques ciblant le CVE-2025-31324 ont été initialement signalées mardi par des chercheurs de la société de sécurité Reliaquest qui ont enquêté sur les introductions par effraction qui ont entraîné l’installation de coquilles Web JSP sur des serveurs SAP. Les shells Web sont des scripts Web qui fonctionnent comme des arrière-oors et permettent aux attaquants d’exécuter des commandes supplémentaires ou de télécharger des fichiers supplémentaires sur des serveurs Web.
SAP Netweaver est le serveur d’applications et l’environnement d’exécution qui sous-tend la plupart des produits logiciels SAP ainsi que des applications commerciales personnalisées construites par les clients. Le SAP Netweaver Visual Composer est un outil de modélisation de logiciels basé sur le Web qui permet aux utilisateurs de concevoir et de produire des applications sans écrire de code. La bonne nouvelle est que Visual Composer n’est pas activé par défaut sur les déploiements SAP.
Les attaques étudiées par Reliaquest ont ciblé un point de terminaison du serveur appelé /developmentserver/metadatauploaderqui est conçu pour gérer les fichiers de métadonnées pour le développement et la configuration des applications dans les applications SAP dans l’environnement NetWeaver. Mais alors que ce point de terminaison est censé transférer et traiter les fichiers de configuration, il semblait que les attaquants ont trouvé un moyen de l’abuser pour écrire des fichiers de shell Web dans le j2ee/cluster/apps/sap.com/irj/servletjsp/irj/root/ annuaire.
Le Reliaquest soupçonnait les attaques – qui impliquaient des demandes de poste spécifiquement conçues – pourrait exploiter une vulnérabilité d’inclusion de fichiers distants auparavant inconnue (RFI), mais il s’est avéré qu’il s’agissait d’une vulnérabilité de téléchargement de fichiers non restreint beaucoup plus grave.
« L’objectif du shell Web était clair: utilisez le fichier JSP pour envoyer des demandes de GET qui exécuteraient des commandes arbitraires », ont déclaré les chercheurs. « Ce shell Web a donné aux attaquants les outils pour télécharger des fichiers non autorisés, saisir un contrôle plus profond des systèmes compromis, exécuter le code distant à volonté et potentiellement voler des données sensibles en les plaçant dans des répertoires accessibles au public. »
L’activité post-compromis impliquait le déploiement de charges utiles supplémentaires telles que les implants Brute Ratel et Heaven’s Gate Maleware. Cependant, il a généralement fallu des jours entre un shell web a été installé et une activité de suivi a été observée. Ce retard et cette différence de charges utiles ont fait soupçonner que les chercheurs soupçonnent que les attaques étaient le travail d’un courtier d’accès initial qui vendait un accès à des serveurs compromis à d’autres groupes qui ont ensuite déployé leurs propres charges utiles.
La théorie initiale du courtier d’accès est également soutenue par Watchtowr, dont les chercheurs pensent que l’accès était ou sera vendu à des gangs de ransomware. La mauvaise nouvelle, cependant, est que le courtier d’accès n’a pris aucune mesure pour sécuriser son shell avec l’authentification.
Détection et correction
Les entreprises peuvent tester si leurs serveurs sont vulnérables en vérifiant si elles peuvent accéder https://(your-sap-server)/developmentserver/metadatauploader sans authentification. Si le serveur est exposé publiquement et que cette page est accessible sans identités, les journaux doivent être vérifiés pour les signes d’exploitation. Selon SAP Security, la société de sécurité redevient: cela comprend:
- À la recherche de tentatives d’accès non autorisées pour le
/developmentserver/metadatauploaderchemin - Vérification des téléchargements de fichiers inattendus dans les journaux du serveur Web
- Recherche de modèles d’exécution inhabituels ou de processus suspects sur votre serveur SAP
- Surveillance des connexions sortantes non autorisées de vos systèmes SAP
La société a fourni des modèles à rechercher dans les journaux d’accès au serveur Web et conseille aux utilisateurs de restreindre l’accès au composant de téléchargeur de métadonnées jusqu’à ce que les correctifs puissent être appliqués.
