Alerte
Numéro : AL25-006
Date : 21 mai 2025
Auditoire
La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Détails
Le 24 avril 2025, SAP a publié une mise à jour d’urgence concernant une vulnérabilité critique, soit la vulnérabilité CVE-2025-31324, visant le produit suivantNote de bas de page 1 :
- SAP NetWeaver (serveur de développement Visual Composer) – version VCFRAMEWORK 7.50
Cette vulnérabilité peut être exploitée pour permettre à un auteur de menaces non authentifié de téléverser des fichiers arbitraires dans le système concernéNote de bas de page 2.
Le 13 mai 2025, SAP a publié un avis de sécurité portant sur une autre vulnérabilité critique, soit la vulnérabilité CVE-2025-42999. Le correctif pour cette vulnérabilité élimine le risque résiduel persistant après l’application du correctif à la vulnérabilité CVE-2025-31324Note de bas de page 3Note de bas de page 4. Le 15 mai 2025, la CISA a ajouté les vulnérabilités CVE-2025-3124 et CVE-2025-42999 à son catalogue de vulnérabilités exploitées connues Note de bas de page 9.
Le Centre pour la cybersécurité est au fait des rapports indiquant qu’on exploite activement la vulnérabilité CVE-2025-31324 depuis mars 2025Note de bas de page 4Note de bas de page 5.
Indicateurs De Compromission
Les indicateurs de compromission signalés dans les adresses URL suivantes sont associés à l’exploitation de cette vulnérabilité :
Onapsis-Mandiant-CVE-2025-31324-Vuln-Compromise-Assessment (en anglais seulement)
ReliaQuest Uncovers New Critical Vulnerability in SAP NetWeaver (en anglais seulement)
Threat Brief: CVE-2025-31324 (en anglais seulement)
Critical vulnerability in SAP NetWeaver enables malicious file uploads (en anglais seulement)
Mesures Recommandées
Le Centre pour la cybersécurité recommande fortement aux organismes qui utilisent SAP NetWeaver de revoir les notes de sécurité SAP 3594142 et 3604119Note de bas de page 6Note de bas de page 7 et d’appliquer les mises à jour et les mesures d’atténuation nécessaires pour corriger ces vulnérabilités.
Restreindre l’accès au point terminal /developmentserver/metadatauploader selon les politiques sur le pare-feu ou au moyen de SAP Web Dispatcher. Bloquer l’accès au réseau non authentifié ou public et limiter l’accès interne aux administratrices et administrateurs autorisés.
Mener des enquêtes approfondies dans les systèmes SAP qui seraient exposés et vulnérables pour repérer les indicateurs de compromission connus. Veuillez tenir compte du fait que les auteurs de menace pourraient avoir mené une activité à la suite d’une attaque d’exploitation des ressources locales, sans le déploiement de codes encoquillés.
Les indicateurs de compromission sont fournis tels quels par le Centre pour la cybersécurité aux fins de connaissance de la situation et d’action potentielle. Étant donné que certains des indicateurs fournis peuvent être un logiciel ou une infrastructure légitime, ou qu’ils peuvent autrement être utilisés à des fins légitimes, la détection ou la présence d’activités liées à ces indicateurs n’implique pas nécessairement une compromission. Ces indicateurs doivent être traités dans un contexte d’enquête, de criminalistique ou de chasse aux cybermenaces et utilisés conjointement, en particulier si des preuves de l’activité décrite dans la présente alerte sont observées Note de bas de page 4Note de bas de page 5. Il est important de vérifier les services commerciaux et les environnements en réseau avant de procéder au blocage en fonction de ces indicateurs.
De plus, le Centre pour la cybersécurité recommande fortement aux organismes d’étudier et de mettre en œuvre ses 10 meilleures mesures de sécurité des TINote de bas de page 8.
Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.