Accéder au contenu principal

ALERTES DE SÉCURITÉ

ALERTES DE SÉCURITÉ

ALERTES DE SÉCURITÉ

Rédigé le . Publié dans Alertes du CERT FR.

Vulnérabilité dans SAP NetWeaver (28 avril 2025)

Le 24 avril 2025, SAP a publié un bulletin de sécurité relatif à la vulnérabilité CVE-2025-31324 qui permet l'exécution de code arbitraire à distance pour un utilisateur non authentifié. Cette vulnérabilité est

Identification du composant vulnérable

Il est possible de vérifier que le composant vulnérable Visual Composer development server est activé au travers de l'URL http://hote:port/nwa/sysinfo et de chercher la présence du composant VISUAL COMPOSER FRAMEWORK (VCFRAMEWORK.SCA ou VCFRAMEWORK). Si la ligne indique NO, le composant n'est pas installé.

Solutions

Avant d'appliquer le correctif de sécurité, il est nécessaire de vérifier qu'aucun fichier avec l'extension jsp, java ou class n'est présent dans les dossiers suivants :

  • C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\root
  • C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work
  • C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work\sync

De plus, il est nécessaire de vérifier dans les journaux du serveur web :

  • des accès à l'URL /developmentserver/metadatauploader via une requête POST avec un code HTTP 200 sans authentification ;
  • des accès aux URL de la forme /irj/helper.jsp, /irj/cache.jsp ou /irj/\w{8}.jsp[3].

Enfin il est possible de consulter [4] pour d'autres indicateurs de compromission. Note : Ces indicateurs n'ont pas été qualifiés par le CERT-FR.
Si des fichiers malveillants ou des journaux suspects sont présents :

  • signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRTs métier et consulter les bons réflexes en cas d'intrusion sur votre système d'information [5] ;
  • isoler totalement la machine concernée du réseau, vis-à-vis d'Internet comme du réseau interne, afin de limiter les risques de latéralisation ;
  • en cas d'utilisation d'une appliance virtuelle, réaliser un instantané du système de fichier et de la mémoire vive ;
  • si possible, éviter d'éteindre la machine afin de conserver les traces nécessaires aux investigations ;
  • mettre sous séquestre les journaux collectés.

Les correctifs pour le composant Visual Composer Framework 7.50 sont listés et disponibles dans le bulletin de sécurité 3594142 de l'éditeur.

Des mesures de contournements sont proposées par l'éditeur [1].

  • Vues : 449