Plus de 1 200 serveurs SAP vulnérables : Comprendre la menace et renforcer la protection

Sommaire 

Introduction La Vulnérabilité Critique CVE-2025-31324 dans SAP NetWeaver L'Étendue de la Menace Les Vulnérabilités SAP : Un Problème Récurrent et Multiforme

1. Vulnérabilités SAP non corrigées
2. Vulnérabilités dans le code SAP personnalisé
3. Défauts de configuration
4. Vulnérabilités liées aux protocoles et mots de passe
5. Vulnérabilités dans les composants spécifiques La Sécurité SAP : Un Angle Mort et des Défis Organisationnels Renforcer la Sécurité SAP : Une Approche Holistique et Intégrée Conclusion

Introduction

Les systèmes SAP, pivots de la gestion des entreprises modernes, sont des cibles de choix pour les cybercriminels en raison de la nature sensible et stratégique des données qu'ils renferment. Qu'il s'agisse de la propriété intellectuelle, de données personnelles, de la planification des ressources ou de la gestion de la chaîne d'approvisionnement, l'intégrité et la confidentialité de ces informations sont primordiales. Cependant, la sécurité de ces environnements est souvent complexe et parfois négligée, ce qui les expose à des risques significatifs. Récemment, une vulnérabilité critique (CVE-2025-31324) affectant SAP NetWeaver a mis en lumière la fragilité potentielle de nombreux systèmes SAP, avec des attaques actives signalées et plus de 1200 serveurs identifiés comme vulnérables. Cet article explore les détails de cette vulnérabilité spécifique dans le contexte plus large des menaces et des défis de la sécurité SAP, et propose des pistes pour une protection renforcée basée sur les informations des sources.

La Vulnérabilité Critique CVE-2025-31324 dans SAP NetWeaver

Une faille de sécurité critique identifiée sous la référence CVE-2025-31324 affecte actuellement SAP NetWeaver, une plateforme essentielle qui connecte et permet le fonctionnement des applications SAP et non-SAP. Plus précisément, cette vulnérabilité réside dans le composant Visual Composer development server de SAP NetWeaver Visual Composer. L'exploitation de cette faille permet à un attaquant distant de téléverser un fichier exécutable sur un serveur vulnérable. Ce qui rend cette vulnérabilité particulièrement dangereuse, c'est qu'elle ne nécessite aucune interaction de la part d'un utilisateur, ni aucune authentification préalable. Une exploitation réussie peut conduire à la compromission totale du serveur.

Classée avec un score CVSS de 10 sur 10, cette vulnérabilité a fait l'objet de rapports d'exploitation active. Des entreprises spécialisées comme ReliaQuest, watchTowr et Rapid7 ont confirmé que des attaques étaient déjà en cours. Selon Rapid7, l'exploitation de cette faille a débuté dès le 27 mars 2025. Les attaquants profitent de cette faiblesse pour déployer des web shells sur les serveurs compromis, utilisant souvent les noms cache.jsp ou helper.jsp, ou parfois des noms aléatoires. Le CERT-FR a également confirmé avoir connaissance de plusieurs compromissions liées à cette vulnérabilité.

La version spécifiquement vulnérable de SAP NetWeaver est VCFRAMEWORK 7.50 si elle n'a pas reçu le dernier correctif de sécurité. Le correctif pour cette faille a été publié par SAP le 25 avril 2025, précédé d'une mesure d'atténuation disponible depuis le 8 avril 2025. Il est important de noter que le composant Visual Composer development server, bien que fréquemment utilisé, n'est pas installé par défaut. Pour vérifier si ce composant vulnérable est activé, il est possible de consulter l'URL http://hote:port/nwa/sysinfo et de rechercher la présence de VISUAL COMPOSER FRAMEWORK (VCFRAMEWORK.SCA ou VCFRAMEWORK). Si la ligne indique NO, le composant n'est pas installé.

L'Étendue de la Menace

Les analyses de diverses organisations de cybersécurité ont révélé l'ampleur de l'exposition. The Shadowserver Foundation a identifié plus de 420 serveurs exposés et potentiellement vulnérables. Cependant, une évaluation menée par la société française Onyphe, utilisant son outil de gestion de la surface d'attaque, a brossé un tableau encore plus préoccupant : elle a détecté 1 284 adresses IP uniques vulnérables à cette faille sur un total de 3 716 appliances SAP accessibles sur Internet. Pire encore, les analyses d'Onyphe suggèrent que 474 serveurs SAP auraient déjà été compromis.

Cette situation alarmante touche même de grandes entreprises. Parmi les organisations affectées, Onyphe a identifié 3 entreprises du CAC 40, 4 du SBF 120 et 16 du classement Global 500 / Fortune 500. La nature critique de la vulnérabilité, sa facilité d'exploitation (absence d'authentification) et les attaques actives en cours soulignent l'urgence pour les entreprises d'agir pour protéger leurs systèmes SAP.

Les Vulnérabilités SAP : Un Problème Récurrent et Multiforme

La vulnérabilité CVE-2025-31324 n'est qu'un exemple, bien que particulièrement critique et actuel, des défis constants en matière de sécurité SAP. Les systèmes SAP sont régulièrement la cible de cybercriminels. Les vulnérabilités dans ces systèmes peuvent avoir des conséquences dévastatrices sur la confidentialité, l'intégrité et la disponibilité des données. Les pertes liées à une simple indisponibilité peuvent s'élever en moyenne à 4,5 millions de dollars. De plus, selon une enquête du Ponemon Institute, plus de la moitié des entreprises interrogées ont déclaré avoir été attaquées sur leur plateforme SAP en moyenne deux fois au cours des 24 mois précédents, et une grande majorité estime qu'il est difficile, voire impossible, de détecter immédiatement une telle attaque.

Les sources soulignent plusieurs types de vulnérabilités fréquentes dans les environnements SAP :

1. Vulnérabilités SAP non corrigées : SAP publie régulièrement des notes de sécurité (patchs) pour adresser les nouvelles menaces et vulnérabilités. En 2022, 196 notes ont été publiées, un chiffre en augmentation constante. Malgré cela, de nombreuses vulnérabilités critiques restent non corrigées dans les systèmes. Certaines, comme CVE-2020-6287 et CVE-2020-6207, identifiées par Onapsis et SAP, ont été activement exploitées par le passé, avec des exploits accessibles publiquement sur des plateformes comme GitHub. La CVE-2021-21468 est une autre vulnérabilité notable qui permet d'appeler un module fonction sans contrôle d'autorisation, potentiellement permettant la lecture de l'intégralité de la base de données via le protocole RFC. L'application des mises à jour et correctifs de sécurité est cruciale pour remédier à ces failles. Des outils comme la transaction CWBNTMSG permettent de vérifier si une note de sécurité a été appliquée. Le catalogue des vulnérabilités exploitables connues (Known Exploited Vulnerabilities) de la CISA référence actuellement dix vulnérabilités affectant SAP.

2. Vulnérabilités dans le code SAP personnalisé : Les entreprises personnalisent souvent leur code d'application SAP (ABAP) pour répondre à des besoins spécifiques. Ce code personnalisé peut introduire des failles si des vérifications régulières ne sont pas effectuées. Parmi les plus critiques figurent les injections de commandes ABAP, de commandes du système d'exploitation et d'OSQL, qui peuvent mener à une compromission totale du système. D'autres failles courantes incluent la redirection d'URL, le manque de vérification de contenu lors des téléchargements HTTP, et l'accès en lecture/écriture aux données sensibles. Ces vulnérabilités liées au code personnalisé présentent un risque accru d'exploitation interne, nécessitant un utilisateur avec un niveau d'accès approprié. Des outils comme le SAP Code Vulnerability Analyzer (CVA), le SAP Enterprise Threat Detection (ETD), le SAP Security Scanner et d'autres outils du marché peuvent aider à détecter ces failles. Cependant, ces outils ne garantissent pas une sécurité complète, et une bonne gouvernance des équipes et des pratiques de développement est essentielle. L'intelligence artificielle peut même être utilisée, par les attaquants ou les défenseurs, pour automatiser la recherche ou la création de code lié aux vulnérabilités.

3. Défauts de configuration : Les configurations par défaut ou mal gérées sont une source majeure de vulnérabilités.

   • SAPRouter : Agissant comme un proxy entre un réseau externe et un système SAP, le SAPRouter (configuré via le fichier saprouttab avec des règles ACL) peut être mal configuré pour être trop permissif. Une configuration laxiste peut permettre à un attaquant de rebondir sur le réseau interne, divulguer des informations sensibles (système, connexions actives), ou être utilisé comme proxy pour scanner ou attaquer le réseau interne. Les dernières versions tentent de limiter certaines redirections non-SAP via wildcard, mais une configuration restrictive reste primordiale.
   • Gateway : Cette application permet aux instances SAP ou programmes externes de communiquer via l'interface RFC. Le mode "registered" permet aux serveurs de s'enregistrer dynamiquement. Si les permissions d'enregistrement sont trop permissives, des attaques sont possibles. L'attaque de type "Evil Twin" permet à un attaquant d'enregistrer un serveur malveillant avec l'ID d'un serveur légitime, potentiellement en causant un déni de service ou en interceptant les données destinées au serveur légitime. Une "attaque par callback" peut même permettre l'exécution de commandes sur le système émetteur. La fonction RFC_SET_REG_SERVER_PROPERTY, si elle n'est pas corrigée (ex: CVE-2007-1918), peut être détournée. La protection passe par l'application des notes SAP et une configuration restrictive de la Gateway n'autorisant que des serveurs spécifiques à s'enregistrer. La Gateway RFC est décrite comme le pare-feu interne de SAP et sa configuration (RegInfo, SecInfo) est essentielle pour éviter les accès distants non autorisés.
   • Paramètres système : La sécurité SAP repose en partie sur la configuration de nombreux paramètres système, définis via des transactions SAP ou dans des fichiers. Le déploiement doit suivre des règles strictes, souvent détaillées dans des manuels SAP Basis ou des recommandations de groupes d'utilisateurs comme la DSAG. Malheureusement, ces configurations sont souvent insuffisantes dans le système standard.

4. Vulnérabilités liées aux protocoles et mots de passe :

   • Protocole DIAG : Utilisé par le client lourd SAPGUI pour dialoguer avec une instance SAP. Les données sont compressées mais non chiffrées par défaut, transitant en clair sur le réseau, ce qui permet leur interception avec des outils comme Wireshark ou Cain&Abel pour obtenir des identifiants. La recommandation est d'utiliser SNC (Secure Network Communications) pour ajouter une couche de chiffrement basée sur des certificats.
   • Rétrocompatibilité des mots de passe : SAP a utilisé différents algorithmes de hachage (A, B, D, E, F, G, H, I). Pour assurer la compatibilité, plusieurs empreintes de hachage (ex: MD5 et SHA-1 pour la version I) peuvent être stockées. En cas de divulgation des empreintes (souvent lors d'un accès à la base de données), le niveau de sécurité est celui de l'algorithme le plus faible (MD5), ce qui facilite le cassage des mots de passe, même si une version plus forte est également stockée. Désactiver la rétrocompatibilité (login/password_downwards_compatibility = 0) si possible est une protection clé. Une politique de mots de passe complexe et la restriction d'accès aux tables contenant les identifiants et historiques de mots de passe (USR02, USH02, USRPWDHISTORY) sont également fondamentales.

5. Vulnérabilités dans les composants spécifiques : Au-delà des défauts de configuration et de code, certains composants SAP peuvent présenter des vulnérabilités intrinsèques. Le composant SAPHostControl, un webservice pour la gestion d'une instance SAP, a par le passé présenté un défaut d'autorisation permettant d'obtenir des informations systèmes via un appel SOAP forgé, ou une vulnérabilité d'injection de paramètres permettant l'exécution de commandes système anonymes.

La Sécurité SAP : Un Angle Mort et des Défis Organisationnels

Malgré l'importance critique des systèmes SAP, leur sécurité est souvent perçue comme un "angle mort" ou une tâche isolée au sein des entreprises. Les projets SAP sont souvent axés sur le bon fonctionnement et les budgets sont rarement suffisants pour couvrir la sécurisation de manière adéquate, d'autant plus que les systèmes sont livrés "très ouverts en standard". La tâche de sécurisation est colossale, que ce soit sur les nouvelles implémentations ou sur les systèmes existants complexes. Les bonnes pratiques préconisées par SAP (via sa Security Baseline) ne sont pas toujours généralisées, et les intégrateurs eux-mêmes peuvent les minimiser pour des raisons budgétaires. La sécurité SAP ne s'arrête pas au projet d'intégration ; un travail perpétuel de réduction de la surface d'attaque en production est nécessaire, couvrant les accès utilisateurs, indirects, techniques, et les développements spécifiques. Ces lacunes persistent, même pour des tâches basiques comme l'application des patchs.

Un défi majeur réside dans le cloisonnement entre l'équipe de sécurité SAP et l'équipe de cybersécurité générale. Historiquement, la sécurité SAP s'est concentrée sur la gestion des identités, des accès et des autorisations, gérée par le département SAP (souvent lié à la finance ou aux opérations IT), avec peu de collaboration avec l'équipe de cybersécurité qui gère l'infrastructure globale. Le département cybersécurité manque souvent de connaissances spécifiques à SAP, tandis que le département SAP peut manquer de connaissances fondamentales en cybersécurité.

Cette fracture est accentuée par les outils. SAP propose des outils comme SAP Solution Manager, SAP GRC, SAP Focused Run, et SAP Enterprise Threat Detection (ETD). ETD est présenté comme le "SIEM SAP" pour la surveillance en temps quasi réel des événements de sécurité SAP. Cependant, ETD se concentre uniquement sur les informations SAP et ne prend pas en charge la corrélation avec les données de sécurité provenant du reste de l'infrastructure IT, collectées par les solutions SIEM utilisées par l'équipe de cybersécurité. Cette limitation isole la sécurité SAP et crée un décalage qui ralentit la détection et la réponse aux incidents, rendant les systèmes SAP vulnérables.

Renforcer la Sécurité SAP : Une Approche Holistique et Intégrée

Pour contrer ces menaces et défis, une approche holistique à 360 degrés de la sécurité SAP est essentielle. Cela implique une collaboration étroite entre les équipes SAP et cybersécurité. Une gouvernance dédiée à la sécurité SAP est primordiale, incluant l'établissement de stratégies, politiques et normes, ainsi que la gestion des risques.

L'intégration de la sécurité SAP dans la stratégie globale de cybersécurité est fondamentale. Une solution Modern SIEM SAP est recommandée pour combler le fossé. Ces plateformes combinent les informations de sécurité spécifiques à SAP avec les informations contextuelles de l'infrastructure IT environnante déjà présentes dans le SIEM centralisé. Cela permet de tirer parti des analyses avancées des plateformes SIEM, comme l'UEBA (User and Entity Behavior Analytics), pour détecter non seulement les menaces connues (basées sur des règles) mais aussi les menaces inconnues et les comportements suspects (ex: un compte privilégié effectuant une transaction inhabituelle). Les SIEM SAP de nouvelle génération peuvent également mapper les menaces identifiées avec le framework MITRE ATT&CK, facilitant la compréhension et la remédiation pour les analystes cybersécurité, et prennent en charge les playbooks pour automatiser la réponse aux incidents. L'intégration de SAP dans un SIEM est présentée comme le seul endroit où les deux mondes (sécurité SAP et cybersécurité) peuvent se rencontrer pour créer une vue holistique et améliorer l'efficacité de la cybersécurité. Idéalement, cette surveillance doit être gérée par un SOC (Security Operations Center).

Au-delà des outils d'intégration, plusieurs bonnes pratiques sont à mettre en œuvre :

• Gestion des accès et des autorisations : Définir et attribuer correctement les rôles et autorisations est crucial. Il faut éviter l'attribution de combinaisons d'autorisations critiques qui violeraient le principe de séparation des tâches (SoD - Segregation of Duties). L'examen continu et automatisé des autorisations est essentiel, ce qui nécessite un catalogue de tests. Les transactions critiques et modules fonctionnels, notamment ceux accessibles à distance via RFC, doivent être surveillés en permanence.
• Gestion des correctifs : Appliquer systématiquement les notes de sécurité publiées par SAP est vital pour remédier aux vulnérabilités connues. Il faut également être capable de détecter les vulnérabilités exploitées ("zero-day").
• Sécurité du code personnalisé : Utiliser des outils d'analyse de code (comme CVA ou d'autres outils du marché) pour vérifier le code ABAP personnalisé et s'assurer qu'il ne contient pas de failles. Une bonne gouvernance des processus de développement et de transport est également indispensable.
• Configuration sécurisée : Vérifier et renforcer la configuration des serveurs SAP, du SAPRouter, de la Gateway, et des paramètres système pour limiter la surface d'attaque et empêcher les accès non autorisés. Cela implique une évaluation de la sécurité de l'infrastructure, du réseau, du système d'exploitation, de la base de données, de SAP NetWeaver et de divers composants SAP.
• Surveillance et journalisation : Activer et contrôler les logs de sécurité SAP, tels que les Security Audit Logs (SM20), Change Logs (SCU3), Change Documents (SCDO), Gateway logs (SMGW), ICM logs, Web Dispatcher logs, et surtout le Read Access Log (RAL) qui enregistre les accès en lecture/écriture, essentiel pour la conformité RGPD. La surveillance doit être continue et, si possible, automatisée.
• Procédures d'urgence : Avoir un plan de réponse aux incidents clair et efficace pour réagir rapidement en cas d'attaque. Les administrateurs réseau doivent pouvoir révoquer les accès et privilèges rapidement.
• Utilisation d'outils spécialisés : En plus des outils SAP, d'autres solutions peuvent apporter une valeur ajoutée significative. Performer for Audit est présenté comme un assistant numérique non intrusif pour l'audit IT SAP, vérifiant, surveillant et mesurant automatiquement les risques (cybersécurité, accès, SoD, changements). Il automatise le diagnostic, aide à la personnalisation des résultats et au suivi des plans de remédiation. Il évalue sur plus de 250 indicateurs clés de performance et permet de se concentrer sur les enjeux en évitant les extractions manuelles. Les résultats sont disponibles rapidement (48h après accès et argent en place). SecurityBridge est une autre solution mentionnée, intégrée à SAP, qui aide à répertorier et prioriser les failles, à réaliser des analyses statiques et dynamiques (surveillance des échanges/événements), et peut s'intégrer à un SIEM.

Conclusion

La vulnérabilité critique CVE-2025-31324 dans SAP NetWeaver, avec plus de 1200 serveurs vulnérables et des attaques actives, est un rappel brutal de l'importance capitale de la sécurité des systèmes SAP. Ces systèmes, qui détiennent les données les plus précieuses des entreprises, sont des cibles constantes. Les vulnérabilités proviennent de sources variées : patchs manquants, code personnalisé défaillant, configurations par défaut permissives, protocoles non sécurisés, et architectures complexes.

Bien que des efforts aient été réalisés par SAP en matière de sécurité (guides, patchs réguliers), des lacunes persistent, souvent aggravées par des défauts de configuration et une application insuffisante des bonnes pratiques. Le manque de collaboration entre les équipes sécurité SAP et cybersécurité générale, ainsi que le caractère isolé des outils de sécurité SAP traditionnels, créent des angles morts significatifs.

Pour se protéger efficacement, une approche intégrée et continue est indispensable. Cela implique de renforcer la gouvernance de la sécurité SAP, d'appliquer rigoureusement les patchs, de sécuriser le code personnalisé, de revoir et durcir les configurations (SAPRouter, Gateway, paramètres système), de renforcer la gestion des accès et des autorisations, et d'activer une journalisation complète. Surtout, il est crucial d'intégrer la surveillance de la sécurité SAP dans une solution SIEM centralisée pour obtenir une vision holistique, corréler les événements avec le reste de l'infrastructure IT, bénéficier d'analyses avancées comme l'UEBA, et permettre une détection et une réponse plus rapides et efficaces aux incidents. L'expertise humaine, combinant la connaissance spécifique de SAP et la cybersécurité, sera de plus en plus recherchée pour relever ces défis. La vigilance et la réactivité sont de mise pour protéger les systèmes SAP critiques.

🌐 Website: www.truetechnologie.com
📧 Email: lamine.diouf@truetechnologie.com/diouf78@gmail.com
📞 Phone: +221 77 856 27 66

Certifications:
CISA | ISO 27001 Lead Auditor | QualysGuard Specialist | CISSP | ITIL | COBIT 2019 | CCNP | Fortinet NSE 6, 7, 8 | VMCE | PCNSE