Une faille critique dans SAP NetWeaver a été exploitée en avril 2025 pour infiltrer les systèmes Linux d’une entreprise chimique américaine. Les cybercriminels ont profité de cette vulnérabilité SAP pour déployer le malware Auto-Color, un cheval de Troie d’accès à distance (RAT) sophistiqué. Ce nouvel incident souligne une tendance préoccupante dans le ciblage des infrastructures critiques par des groupes malveillants via des exploitations de failles RCE.
Exploitation de la faille SAP CVE-2025-31324 : ce qu’il faut savoir
Un bug critique de type Remote Code Execution
La faille CVE-2025-31324 dans SAP NetWeaver permet une exécution de code à distance suite à l’upload non authentifié de fichiers. Cette vulnérabilité critique a été corrigée par SAP en avril 2025, mais les cybercriminels avaient déjà commencé à en tirer parti. Le 28 avril, les analystes de Darktrace ont détecté l’exploitation active de cette faille dans l’environnement Linux d’une entreprise chimique basée aux États-Unis.
Déroulement de l’attaque
Selon les recherches de Darktrace, les premiers signes de l’attaque sont apparus trois jours avant le téléchargement d’un fichier binaire ELF malveillant depuis une machine exposée à Internet, probablement un serveur SAP NetWeaver. Cette attaque sur système Linux a permis l’exécution d’un second stade : l’injection du malware Auto-Color via un fichier ELF sur l’appareil compromis.
Auto-Color : un cheval de Troie Linux furtif et adaptable
Fonctionnalités de Auto-Color
Découvert pour la première fois par l’unité 42 de Palo Alto Networks en février 2024, Auto-Color est un malware d’accès à distance capable de :
- créer et exécuter des fichiers
- établir une connexion SSH inversée
- manipuler les proxies systèmes
- profilage du système infecté
- effacement automatique activé par un kill switch
Le malware adopte un comportement discret si la communication avec l’infrastructure de commande (C2) échoue, lui permettant de passer inaperçu des antivirus et outils EDR.
Cibles précédentes et stratégie d’évasion
Entre novembre et décembre 2024, Auto-Color a été observé dans des attaques contre des universités et institutions gouvernementales en Amérique du Nord et en Asie. L’un de ses traits distinctifs est sa capacité à détecter un environnement de détection ou l’absence de serveur C2, retardant alors tout comportement malveillant évident. Cette approche indique une méconnaissance maîtrisée des systèmes Linux par l’attaquant et confirme l’implication d’un groupe avancé.
Apprendre à hacker et se défendre : un enjeu clé
Attaques ciblées et connaissances techniques
Ce type d’intrusion montre à quel point les attaques ciblant des systèmes Linux via des logiciels d’entreprise vulnérables nécessitent une expertise technique avancée. Pour mieux comprendre les méthodes d’attaque et renforcer ses défenses, il peut être pertinent de s’appuyer sur notre livre pour hacker. Ce guide permet d’apprendre à hacker en assimilant les stratégies utilisées par les attaquants, et ainsi renforcer son niveau de sécurité face aux menaces avancées comme Auto-Color.
Leçons pour les entreprises et spécialistes sécurité
Les infrastructures critiques, les serveurs exposés à Internet et les applications métiers doivent être patchés sans délai. Ce type d’incident renforce la nécessité d’une cybersurveillance continue et d’une analyse proactive des menaces. Il est également vital de former les équipes à la compréhension des comportements malveillants évolués via des méthodologies concrètes de cyberattaques observées sur le terrain.
CyberCare propose des services de protection des environnements Linux, d’audit de sécurité SAP et de réponse à incident pour aider les entreprises à faire face à ce type de menace sophistiquée.
