L'ANSSI a émis une alerte concernant une vulnérabilité critique dans la plateforme SAP NetWeaver. La faille, qui permet une exécution de code à distance, a déjà fait plusieurs victimes, puisqu'elle est déjà exploitée par des pirates informatiques.
SAP NetWeaver, une plateforme d'intégration qui sert de colonne vertébrale technique aux systèmes informatiques des grandes entreprises, est frappée par une vulnérabilité en cours d'exploitation par les hackers. Référencée CVE-2025-31324, elle a été identifiée le 24 avril dernier, et pousse cette semaine le CERT-FR, de l'ANSSI, à lancer l'alerte. La faille en question affecte le composant Visual Composer de SAP NetWeaver. Elle permet à des attaquants d'exécuter du code arbitraire sans authentification préalable.
Le CERT-FR tire la sonnette d'alarme sur SAP NetWeaver
Le CERT-FR confirme avoir connaissance de plusieurs compromissions réussies, qui rendent la mise à jour des systèmes concernés prioritaire. Car la faille de sécurité se niche au cœur du composant Visual Composer development server de SAP NetWeaver. Ce dernier, bien que non installé par défaut, est fréquemment déployé par les entreprises pour propulser leurs applications métier. Un trou dans la raquette permet aux cybercriminels de télécharger des fichiers malveillants directement sur le serveur, et de contourner les barrières habituelles.
Ce qui rend cette vulnérabilité particulièrement dangereuse, c'est qu'elle ne nécessite aucune authentification pour être exploitée. Un attaquant peut cibler n'importe quel système SAP exposé sur internet, sans posséder de compte utilisateur. Cette situation a déjà conduit à plusieurs incidents de sécurité confirmés par le CERT-FR, l'autorité française en matière de cybersécurité.
Pour savoir si votre système est vulnérable, vous pouvez vérifier la présence du composant Visual Composer Framework via l'URL « hote:port/nwa/sysinfo ». Si vous identifiez la présence de « VCFRAMEWORK.SCA » ou « VCFRAMEWORK » et que vous n'avez pas appliqué les derniers correctifs de sécurité, votre système est probablement à risque. « Si la ligne indique "NO", alors le composant n'est pas installé », explique l'agence française cyber.
Visual Composer de SAP transformé en porte dérobée pour les cybercriminels
SAP a dégainé des correctifs pour tous les systèmes concernés dans son bulletin de sécurité 3594142. Les administrateurs doivent s'empresser de les appliquer, pour bloquer la route aux attaquants déjà en embuscade. Mais avant toute installation, un check-up s'impose tout de même. Traquez les fichiers suspects aux extensions .jsp, .java ou .class qui se seraient nichés dans les recoins sensibles du système. Ces intrus témoignent souvent d'une compromission déjà en cours.
En cas de découverte de fichiers malveillants ou de journaux suspects, isolez immédiatement la machine du réseau, tant d'Internet que du réseau interne. Cette action limite les risques de propagation latérale dans votre infrastructure. Pour les systèmes virtualisés, réalisez un instantané du système et de la mémoire vive pour faciliter les investigations ultérieures.
Des mesures de contournement temporaires sont également proposées par SAP pour les organisations qui ne peuvent pas appliquer immédiatement les correctifs.
