Devis de remise multi-licences
Données concernant les menaces Vulnérabilité Vulnérabilité CVE-2025-31324

Vulnérabilité CVE-2025-31324

Par Mezo en Vulnérabilité
Se traduisent par :

Des chercheurs en sécurité ont lié un acteur malveillant affilié à la Chine, nommé Chaya_004, à l'exploitation d'une vulnérabilité critique de SAP NetWeaver identifiée comme CVE-2025-31324. Affichant le score CVSS le plus élevé de 10,0, cette faille permet aux attaquants d'exécuter du code à distance (RCE) en téléchargeant des shells Web menaçants via le point de terminaison vulnérable /developmentserver/metadatauploader.

Cette vulnérabilité a attiré l'attention fin avril 2025, lorsque les équipes de sécurité informatique ont découvert qu'elle était activement exploitée. Les attaquants l'ont exploitée pour déployer des shells web et des outils de post-exploitation comme Brute Ratel C4.

Les retombées : les industries dans le collimateur

Depuis mars 2025, cette vulnérabilité a été largement exploitée dans divers secteurs et zones géographiques. Les premières exploitations auraient eu lieu dès le 12 mars, et des intrusions réussies ont été confirmées entre le 14 et le 31 mars.

Les secteurs compromis comprennent :

  • Énergie et services publics
  • Fabrication
  • Médias et divertissement
  • Pétrole et gaz
  • Médicaments
  • Organisations de vente au détail et gouvernementales

Ces attaques généralisées indiquent une campagne mondiale, affectant potentiellement des centaines de systèmes SAP.

À l’intérieur des infrastructures nuisibles

L'acteur malveillant Chaya_004 a été à l'avant-garde de ces campagnes, hébergeant un shell inversé web appelé SuperShell à l'adresse IP 47.97.42[.]177. Cette infrastructure a également révélé d'autres éléments suspects :

  • Port 3232/HTTP, servant un certificat auto-signé imitant Cloudflare
  • Plusieurs outils et services en langue chinoise hébergés par des fournisseurs de cloud chinois

Les outils malveillants associés au groupe comprennent :

  • NPS (Network Policy Server) : Cet outil est souvent utilisé pour gérer les politiques d'accès au réseau. Les attaquants peuvent l'exploiter pour manipuler le trafic réseau, permettant ainsi des accès non autorisés ou perturbant les communications.
  • SoftEther VPN : un logiciel VPN polyvalent et open source qui peut être utilisé à mauvais escient par des attaquants pour contourner la sécurité du réseau et établir des connexions cryptées vers des systèmes distants, facilitant ainsi l'exfiltration furtive de données ou le mouvement latéral au sein des réseaux compromis.
  • Cobalt Strike : un outil de post-exploitation largement utilisé pour les menaces persistantes avancées. Il permet aux attaquants de simuler des cyberattaques réelles, leur donnant ainsi la possibilité de contrôler et d'exploiter secrètement les machines compromises.
  • Asset Reconnaissance Lighthouse (ARL) : un outil de reconnaissance qui aide les attaquants à cartographier les actifs du réseau, à identifier les vulnérabilités et à obtenir des informations sur les cibles potentielles au sein d'un réseau, contribuant ainsi à des attaques plus efficaces et ciblées.
  • Pocassist : un outil conçu pour aider à la création et à l'exploitation d'exploits de preuve de concept (PoC), aidant les attaquants à automatiser le processus de test des vulnérabilités et d'exécution d'exploits ciblés.
  • GOSINT : Un outil utilisé pour la collecte de renseignements open source (OSINT), qui aide les attaquants à collecter des informations accessibles au public pour faciliter la reconnaissance, telles que les données des employés, les détails du réseau ou d'autres informations sensibles qui peuvent être exploitées dans les attaques.
  • GO Simple Tunnel : un outil de tunneling simple utilisé par les attaquants pour contourner les pare-feu et autres mesures de sécurité réseau, créant des tunnels cryptés qui peuvent être utilisés pour déplacer le trafic sans être détecté ou accéder à des systèmes restreints.
  • Tunnel simple GO

Cette boîte à outils sophistiquée, associée à l’utilisation d’infrastructures chinoises, indique fortement qu’il s’agit d’un acteur de menace opérant depuis la Chine.

Garder une longueur d’avance : stratégies de défense contre l’exploitation continue

Malgré la publication de correctifs de sécurité, des activités nuisibles persistent après leur déploiement, ce qui indique que les shells web précédemment déployés sont réutilisés et étendus par un large éventail de fraudeurs, des opportunistes aux adversaires hautement qualifiés. Dans ce contexte de menaces en constante évolution, les organisations doivent mettre en œuvre des mesures correctives complètes, notamment l'application rapide des mises à jour officielles de SAP, la restriction rigoureuse de l'accès aux terminaux vulnérables et la désactivation des services non essentiels tels que Visual Composer.

De plus, il est essentiel de maintenir une vigilance accrue grâce à une surveillance continue du système et des journaux pour détecter tout comportement anormal. Ces efforts défensifs sont essentiels pour limiter les risques de nouvelles compromissions et préserver l'intégrité opérationnelle des infrastructures SAP.

Tendance

Le plus regardé

Chargement...