Public Exploit for Chained SAP Flaws Exposes Unpatched Systems to Remote Code Execution

1 minute de lecture

Mis à jour : August 19, 2025

Exploit Public pour SAP NetWeaver : Risque d’Exécution de Code à Distance

Un nouvel exploit exploite une combinaison de deux failles critiques de sécurité dans SAP NetWeaver, permettant le contournement de l’authentification et l’exécution de code à distance. Ce risque met les organisations à la merci de compromissions système et de vols de données.

Les vulnérabilités exploitées sont :

CVE-2025-31324 (Score CVSS : 10.0) : Défaut de vérification d’autorisation dans le serveur de développement Visual Composer de SAP NetWeaver.
CVE-2025-42999 (Score CVSS : 9.1) : Désérialisation non sécurisée dans le serveur de développement Visual Composer de SAP NetWeaver.

Ces failles, corrigées par SAP en avril et mai 2025, ont été utilisées par des acteurs malveillants comme des zero-days dès mars. Des groupes de ransomware (Qilin, BianLian, RansomExx) et des équipes d’espionnage liées à la Chine ont activement exploité ces vulnérabilités, ciblant notamment les infrastructures critiques. L’exploit, rendu public par une alliance formée par Scattered Spider et ShinyHunters, permet à un attaquant non authentifié d’exécuter des commandes arbitraires sur le système SAP, y compris le téléchargement de fichiers malveillants. Cela peut mener à la prise de contrôle totale du système et des données SAP.

La chaîne d’attaque utilise CVE-2025-31324 pour contourner l’authentification et télécharger une charge utile, puis CVE-2025-42999 pour désérialiser et exécuter cette charge utile avec des privilèges élevés. Le gadget de désérialisation pourrait potentiellement être réutilisé pour exploiter d’autres vulnérabilités corrigées par SAP.

Points clés :

Exploit public combinant deux failles SAP NetWeaver.
Permet le contournement de l’authentification et l’exécution de code à distance (RCE).
Utilisé par des groupes de ransomware et des équipes d’espionnage.
Les attaquants obtiennent des privilèges d’administrateur SAP.

Vulnérabilités :

CVE-2025-31324 (CVSS 10.0)
CVE-2025-42999 (CVSS 9.1)
Mention de vulnérabilités potentiellement réexploitables : CVE-2025-30012, CVE-2025-42963, CVE-2025-42964, CVE-2025-42966, CVE-2025-42980.

Recommandations :

Appliquer les correctifs de sécurité SAP dès que possible.
Vérifier et restreindre l’accès aux applications SAP depuis Internet.
Surveiller les applications SAP pour détecter tout signe de compromission.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Public Exploit for Chained SAP Flaws Exposes Unpatched Systems to Remote Code Execution

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast