Vulnérabilité critique dans SAP NetWeaver : l'offensive chinoise s'intensifie

Une faille de sécurité catastrophique affecte actuellement des centaines de systèmes SAP à travers le monde. Découverte en avril 2025, cette vulnérabilité permet aux attaquants de prendre le contrôle total des serveurs sans même s'authentifier. Les experts pointent désormais du doigt un groupe de pirates chinois à l'origine d'une vaste campagne d'exploitation.

Une vulnérabilité qui ne fait pas dans la demi-mesure

La vulnérabilité CVE-2025-31324 a été identifiée par ReliaQuest suite à plusieurs incidents préoccupants survenus dans des environnements critiques. Avec un score de sévérité CVSS maximal de 10/10, cette faille touche spécifiquement le composant Visual Composer de SAP NetWeaver, un outil permettant aux analystes métier de créer des applications sans programmation.

Les premières activités de reconnaissance remontent à janvier 2025, mais Mandiant (filiale de Google) confirme que la première exploitation réelle date du 12 mars. SAP n'a toutefois publié un correctif d'urgence que le 24 avril, après la découverte de compromissions actives dans plusieurs organisations sensibles.

Un mécanisme d'exploitation d'une simplicité alarmante

Le fonctionnement de cette vulnérabilité illustre parfaitement pourquoi les fondamentaux de la sécurité informatique restent essentiels. La faille exploite l'absence de contrôle d'autorisation dans le module "Metadata Uploader" de SAP NetWeaver, accessible via l'URL "/developmentserver/metadatauploader".

Cette lacune critique permet à n'importe quel utilisateur, même anonyme, d'envoyer des requêtes HTTP spécialement conçues pour déposer des fichiers malveillants sur le serveur. Une fois en place, ces web shells JSP (Java Server Pages) offrent aux attaquants un accès persistant avec les privilèges administratifs du processus serveur SAP.

En termes plus simples : la porte d'entrée était grande ouverte, et les visiteurs indésirables peuvent désormais faire comme chez eux, avec les clés du royaume numérique entre leurs mains.

Chaya_004 : le collectif chinois derrière l'offensive

Les chercheurs de Forescout Vedere Labs ont formellement identifié un groupe baptisé "Chaya_004" comme principal responsable des attaques observées depuis fin avril. Ce collectif, d'origine chinoise, se distingue par plusieurs caractéristiques techniques :

• Utilisation d'infrastructures hébergées chez des fournisseurs cloud chinois (Alibaba, Tencent, Huawei)
• Déploiement de certificats auto-signés usurpant l'identité de Cloudflare
• Arsenal d'outils en langue chinoise, notamment "SuperShell", un reverse shell développé en Go
• Plus de 780 adresses IP suspectes impliquées dans l'infrastructure d'attaque

Plus inquiétant encore, une seconde vague d'attaques est actuellement en cours : des pirates opportunistes exploitent maintenant les web shells installés par les attaquants initiaux, transformant cette campagne en véritable cauchemar pour les équipes de sécurité.

Un impact mondial et des secteurs stratégiques touchés

L'ampleur de cette campagne malveillante est considérable. D'après Onyphe, environ 20 entreprises du Fortune 500 figurent parmi les victimes. Plus de 1 280 instances vulnérables restent exposées sur internet, dont près de 500 déjà compromises.

Les secteurs touchés illustrent la dimension stratégique de ces attaques :

• Énergie et pétrole
• Industrie manufacturière
• Secteur pharmaceutique
• Commerce de détail
• Médias
• Organisations gouvernementales

En France, l'ANSSI a émis une alerte dès le 28 avril, tandis qu'aux États-Unis, la CISA a ordonné aux agences fédérales de sécuriser leurs systèmes avant le 20 mai 2025.

Comment protéger vos systèmes SAP

Face à cette menace active, les experts recommandent plusieurs mesures urgentes :

1. Appliquer immédiatement le correctif d'urgence publié par SAP
2. Restreindre l'accès au service "metadata uploader" via des pare-feu ou SAP Web Dispatcher
3. Désactiver complètement Visual Composer s'il n'est pas essentiel aux opérations
4. Surveiller activement tout accès ou modification suspecte des services
5. Vérifier les indicateurs de compromission publiés par les organismes officiels

Pour les organisations qui soupçonnent une compromission, une analyse forensique complète est indispensable. La présence de web shells persistants représente une menace à long terme, permettant aux attaquants de revenir à leur convenance ou de revendre les accès à d'autres groupes malveillants.

Une menace persistante qui révèle des failles organisationnelles

Cette campagne d'exploitation massive souligne une fois de plus l'importance d'une gestion rigoureuse des vulnérabilités critiques, particulièrement dans les infrastructures stratégiques comme SAP. Le délai entre la découverte initiale et la publication du correctif illustre les défis auxquels font face même les plus grandes entreprises technologiques.