L’écosystème SAP, pilier informatique de milliers d’entreprises à travers le monde, vient d’essuyer une alerte critique. Le 30 juillet 2025, des chercheurs en cybersécurité ont révélé une exploitation active d’une faille dans SAP NetWeaver, ciblant spécifiquement les serveurs Linux via un malware sophistiqué nommé Auto‑Color.
Ce malware furtif, assimilable à un Remote Access Trojan (RAT), a déjà été repéré dans plusieurs infrastructures industrielles, notamment dans le secteur chimique et manufacturier.
CVE‑2025‑31324 : la vulnérabilité à l’origine de l’attaque
La faille identifiée, CVE‑2025‑31324, affecte des composants d’administration SAP exécutés sous Linux. Elle permet une exécution de code à distance sans authentification préalable via une interface exposée vulnérable.
Une fois exploitée, cette vulnérabilité donne aux attaquants un contrôle total sur le serveur ciblé. Ils peuvent ainsi :
- Déployer Auto‑Color à distance ;
- Créer, modifier ou supprimer des fichiers système ;
- Installer des backdoors persistantes ;
- Et masquer toute trace de l’attaque via un mécanisme d’auto-suppression.
Auto‑Color : une charge utile furtive mais puissante
Une fois installé, Auto‑Color agit de manière silencieuse et stratégique. Il est capable de :
- Collecter les informations système et réseau ;
- Établir un canal chiffré avec un serveur de commande (C2) ;
- S’intégrer aux processus métiers SAP pour échapper à la détection ;
- Se désinstaller automatiquement si une analyse est détectée.
Les premiers cas identifiés remontent à début juillet, mais l’attaque n’a été détectée qu’après des baisses sévères de performance sur plusieurs systèmes SAP industriels.
Pourquoi cette attaque est critique pour les entreprises ?
SAP NetWeaver est le socle technique de nombreuses applications critiques : ERP, CRM, gestion logistique, finance… Une compromission à ce niveau peut permettre à un attaquant de :
- Accéder à des données confidentielles (RH, finance, chaîne logistique) ;
- Interférer avec les processus de production automatisés ;
- Compromettre l’intégrité de la chaîne d’approvisionnement.
Recommandations immédiates pour les administrateurs SAP et Linux
- Appliquer immédiatement les correctifs SAP liés au CVE‑2025‑31324.
- Vérifier les connexions réseau sortantes des hôtes SAP (recherche de trafic C2).
- Déployer un HIDS (Host Intrusion Detection System) pour surveiller les modifications non autorisées.
- Auditer les binaires SAP personnalisés installés localement.
- Mettre en quarantaine les hôtes suspects ou en sortie de maintenance récente.
Conclusion
Cette campagne d’exploitation illustre à quel point les systèmes critiques Linux, même dans des environnements aussi fermés que SAP, sont aujourd’hui exposés à des attaques ciblées, industrielles et souvent indétectables dans un premier temps.
