S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 28 avril 2025
N° CERTFR-2025-ALE-005
Affaire suivie par: CERT-FR

Bulletin d'alerte du CERT-FR

Objet: Vulnérabilité dans SAP NetWeaver

Gestion du document

Référence CERTFR-2025-ALE-005
Titre Vulnérabilité dans SAP NetWeaver
Date de la première version28 avril 2025
Date de la dernière version28 avril 2025
Source(s) Bulletin de sécurité SAP 3594142 version 17 du 24 avril 2025
Bulletin de sécurité SAP april-2025 du 24 avril 2025

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance

Systèmes affectés

  • NetWeaver (Visual Composer development server) versions VCFRAMEWORK 7.50 sans le dernier correctif de sécurité

Résumé

Le 24 avril 2025, SAP a publié un bulletin de sécurité relatif à la vulnérabilité CVE-2025-31324 qui permet l'exécution de code arbitraire à distance pour un utilisateur non authentifié. Cette vulnérabilité est provoquée par un contournement de la politique de sécurité qui permet de télécharger des fichiers arbitraires et potentiellement exécutables sur le serveur. Elle impacte le composant Visual Composer development server, non installé par défaut mais fréquemment utilisé.

Le CERT-FR a connaissance de plusieurs compromissions liées à cette vulnérabilité.

L'accès aux détails complets concernant cette vulnérabilité ([1] [2]) nécessite un compte utilisateur pour le support SAP. Le bulletin de sécurité du 8 avril 2025 a été mis à jour pour indiquer cette nouvelle vulnérabilité sans faire mention de son exploitation active.

Identification du composant vulnérable

Il est possible de vérifier que le composant vulnérable Visual Composer development server est activé au travers de l'URL http://hote:port/nwa/sysinfo et de chercher la présence du composant VISUAL COMPOSER FRAMEWORK (VCFRAMEWORK.SCA ou VCFRAMEWORK). Si la ligne indique NO, le composant n'est pas installé.

Solutions

Avant d'appliquer le correctif de sécurité, il est nécessaire de vérifier qu'aucun fichier avec l'extension jsp, java ou class n'est présent dans les dossiers suivants :

  • C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\root
  • C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work
  • C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work\sync

De plus, il est nécessaire de vérifier dans les journaux du serveur web :

  • des accès à l'URL /developmentserver/metadatauploader via une requête POST avec un code HTTP 200 sans authentification ;
  • des accès aux URL de la forme /irj/helper.jsp, /irj/cache.jsp ou /irj/\w{8}.jsp[3].

Enfin il est possible de consulter [4] pour d'autres indicateurs de compromission. Note : Ces indicateurs n'ont pas été qualifiés par le CERT-FR.

Si des fichiers malveillants ou des journaux suspects sont présents :

  • signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRTs métier et consulter les bons réflexes en cas d'intrusion sur votre système d'information [5] ;
  • isoler totalement la machine concernée du réseau, vis-à-vis d'Internet comme du réseau interne, afin de limiter les risques de latéralisation ;
  • en cas d'utilisation d'une appliance virtuelle, réaliser un instantané du système de fichier et de la mémoire vive ;
  • si possible, éviter d'éteindre la machine afin de conserver les traces nécessaires aux investigations ;
  • mettre sous séquestre les journaux collectés.

Les correctifs pour le composant Visual Composer Framework 7.50 sont listés et disponibles dans le bulletin de sécurité 3594142 de l'éditeur.

Des mesures de contournements sont proposées par l'éditeur [1].

Documentation

Gestion détaillée du document

    le 28 avril 2025
    Version initiale