Une faille de sécurité critique affecte la solution SAP S/4HANA : CVE-2025-42957. La mauvaise nouvelle, c’est que cette vulnérabilité est actuellement exploitée par les pirates pour compromettre les serveurs exposés. Faisons le point.
CVE-2025-42957 : une menace sérieuse pour SAP S/4HANA
La solution S/4HANA, qui représente l’ERP développé par SAP, est affectée par une vulnérabilité critique associée à un score CVSS de 9.9 sur 10. Elle a été signalée le 27 juin 2025 par les chercheurs en sécurité de SecurityBridge, puis elle a été patchée officiellement le 11 août 2025 par un correctif de sécurité.
Il s’agit d’une faille d’injection de code ABAP dans un module de fonction exposé via RFC. Concrètement, un attaquant disposant d’un compte utilisateur avec de faibles privilèges peut injecter du code arbitraire, contourner toutes les autorisations, et ainsi prendre le contrôle complet du système SAP.
La compromission du serveur SAP S/4HANA peut permettre la mise en œuvre d’autres actions malveillantes :
Vol et manipulation de données sensibles (financières, clients, etc.).
La création de comptes administrateur, ce qui représente alors une porte dérobée.
Vol d’identifiants pour étendre l’attaque au reste du système d’information.
Déploiement de malwares ou de ransomwares.
SecurityBridge a confirmé que des attaques, bien que limitées pour le moment, sont en cours. Les chercheurs en sécurité précisent : “Bien qu’une exploitation à grande échelle n’ait pas encore été signalée, SecurityBridge a vérifié l’abus réel de cette vulnérabilité. Cela signifie que les attaquants savent déjà comment l’utiliser – laissant les systèmes SAP non corrigés exposés.”
De plus, la rétro-ingénierie du correctif afin de concevoir un exploit s’avère plus facile dans le cas de SAP ABAP, puisque le code ABAP est accessible et visible par tous. Résultat, les cybercriminels ont pu mettre au point plus rapidement un exploit.
Pour démontrer la faisabilité de l’attaque, SecurityBridge a publié une vidéo montrant comment la vulnérabilité peut être utilisée pour exécuter des commandes système sur un serveur SAP.
Comment se protéger ?
Plusieurs produits et versions de chez SAP sont vulnérables à la faille de sécurité CVE-2025-42957. Voici la liste des versions affectées par produit :
S/4HANA (Private Cloud ou On-Premise), versions S4CORE 102 à 108.
Landscape Transformation (Analysis Platform), versions DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020.
Business One (SLD), versions B1_ON_HANA 10.0 et SAP-M-BO 10.0.
NetWeaver Application Server ABAP (BIC Document), versions S4COREOP 104 à 108, et plusieurs versions de SEM-BW.
À partir de votre compte SAP, vous devez accéder à cette page pour prendre connaissance des mesures à appliquer pour protéger votre instance. Patchez si vous utilisez ces solutions.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.