CISA ostrzega przed dwiema kolejnymi aktywnie wykorzystywanymi lukami w Dassault DELMIA Apriso (CVE-2025-6204, CVE-2025-6205) - Security Bez Tabu

CISA ostrzega przed dwiema kolejnymi aktywnie wykorzystywanymi lukami w Dassault DELMIA Apriso (CVE-2025-6204, CVE-2025-6205)

Wprowadzenie do problemu / definicja luki

CISA dodała do katalogu KEV (Known Exploited Vulnerabilities) dwie luki w rozwiązaniu DELMIA Apriso firmy Dassault Systèmes, używanym do zarządzania i realizacji operacji produkcyjnych (MOM/MES). Chodzi o:

  • CVE-2025-6205Missing authorization (brak autoryzacji), umożliwiająca zdalne uzyskanie uprzywilejowanego dostępu przez nieautoryzowanego atakującego; ocena przez producenta CVSS 9.1 (Critical).
  • CVE-2025-6204Code injection (wstrzyknięcie kodu), pozwalająca uprawnionemu użytkownikowi o wysokich uprawnieniach wykonać dowolny kod; ocena CVSS 8.0 (High).

CISA informuje, że obie podatności są aktywnie wykorzystywane; agencje FCEB mają czas na wdrożenie środków do 18 listopada 2025 r.

W skrócie

  • Produkt: Dassault DELMIA Apriso (Release 2020–2025).
  • Luki: CVE-2025-6205 (brak autoryzacji), CVE-2025-6204 (wstrzyknięcie kodu).
  • Status: aktywne exploity, pozycje w CISA KEV. Termin dla FCEB: 18.11.2025.
  • Łatki: producent opublikował informacje i ścieżki remediacji w sierpniu 2025 r.
  • Sektory ryzyka: automotive, elektronika, lotnictwo, maszyny przemysłowe.

Kontekst / historia / powiązania

To kolejny raz, gdy DELMIA Apriso trafia do KEV w 2025 r. We wrześniu CISA dodała również CVE-2025-5086 (zdalne wykonanie kodu), po odnotowaniu pierwszych prób eksploatacji przez SANS ISC. Obecne wpisy (6204, 6205) potwierdzają utrzymujące się zainteresowanie atakujących tym ekosystemem.

Analiza techniczna / szczegóły luki

CVE-2025-6205 (Missing authorization)

  • Wektor: sieciowy (AV:N), niski poziom złożoności (AC:L), bez uwierzytelnienia (PR:N), brak interakcji użytkownika (UI:N), wpływ na poufność i integralność (C:H/I:H) – ocena CVSS 9.1 (CNA: Dassault).
  • Skutek: atakujący może zdalnie uzyskać uprzywilejowany dostęp do aplikacji.
  • CWE: CWE-862 (Missing Authorization).

CVE-2025-6204 (Code injection)

  • Wektor: sieciowy (AV:N), wysoka złożoność (AC:H), wymagane wysokie uprawnienia (PR:H); mimo to wpływ na C/I/A oceniony jako wysoki – CVSS 8.0 (CNA).
  • Skutek: wykonanie dowolnego kodu w systemie.
  • CWE: CWE-94 (Improper Control of Generation of Code).

Zakres wersji: Release 2020–2025. Dassault potwierdza dostępność remediacji i dokumentacji wsparcia (portal support.3ds.com).

Praktyczne konsekwencje / ryzyko

  • Ataki bez uwierzytelnienia (CVE-2025-6205): szczególnie niebezpieczne w środowiskach, gdzie interfejsy Apriso są dostępne z sieci korporacyjnej lub – co gorsza – z Internetu (np. błędna segmentacja). Umożliwia eskalację uprawnień i przejęcie orkiestracji procesów produkcyjnych.
  • Wstrzyknięcie kodu (CVE-2025-6204): choć wymaga wysokich uprawnień, zagrożenie jest realne w scenariuszach nadużycia kont serwisowych lub ruchu bocznego po wstępnym włamaniu.
  • Wpływ na OT/MES: zakłócenia produkcji, manipulacja danymi jakości, błędne zlecenia i traceability, ryzyko przestojów i strat finansowych w branżach o wysokich wymaganiach zgodności (automotive/lotnictwo).

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiastowe łatanie: zastosuj aktualizacje/remediacje dostarczone przez Dassault dla dotkniętych wydań (R2020–R2025).
  2. Weryfikacja ekspozycji:
    • Zidentyfikuj instancje Apriso oraz interfejsy web/API.
    • Upewnij się, że brak dostępu z Internetu; wymuś dostęp przez VPN i listy kontroli.
  3. Twarde ograniczenie uprawnień (szczególnie kont o wysokich rolach) oraz MFA dla interfejsów administracyjnych.
  4. Segmentacja IT/OT i kontrola ruchu (WAF/IPS) – reguły na wstrzyknięcie kodu oraz próby nadużyć autoryzacji.
  5. Hunting i detekcja:
    • Szukaj nietypowych logowań do Apriso, zmian konfiguracji, nagłych skoków uprawnień.
    • Koreluj z IOC/telemetrią z wrześniowych prób eksploatacji DELMIA Apriso (CVE-2025-5086) jako sygnałem zainteresowania środowiskiem.
  6. Zgodność z CISA KEV: jeśli podlegasz BOD 22-01, deadline 18.11.2025 na wdrożenie mitigacji; pozostałe organizacje powinny traktować priorytetowo.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • CVE-2025-5086 (RCE) z września 2025 r. był wcześniej obserwowany w atakach; obecne luki uzupełniają powierzchnię ataku:
    • 6205bezautoryzacyjna eskalacja dostępu (krytyczna).
    • 6204remote code execution z poziomu uprzywilejowanego użytkownika (wysoka).
      Zestawienie sugeruje, że środowiska Apriso mogą być celem wielowektorowych kampanii, łączących początkowe wejście z dalszą eskalacją i wykonaniem kodu.

Podsumowanie / kluczowe wnioski

  • Dwie nowe luki w DELMIA Aprisoaktywnie eksploatowane i mają wysokie/ krytyczne znaczenie.
  • Łatki/remediacje dostępne od sierpnia 2025 r. – należy je wdrożyć niezwłocznie i ograniczyć ekspozycję interfejsów.
  • Organizacje przemysłowe (automotive, lotnictwo, elektronika, maszyny) powinny potraktować temat jako priorytet w obszarze MES/MOM i OT.

Źródła / bibliografia

  • BleepingComputer: “CISA warns of two more actively exploited Dassault vulnerabilities”, 28.10.2025. (BleepingComputer)
  • NVD (NIST): CVE-2025-6205 – opis, CVSS, wpis KEV/due date. (NVD)
  • NVD (NIST): CVE-2025-6204 – opis, CVSS, klasyfikacja CWE-94. (NVD)
  • Dassault Systèmes Trust Center: CVE-2025-6205 – advisory/remediacja. (Dassault Systèmes)
  • Dassault Systèmes Trust Center: CVE-2025-6204 – advisory/remediacja. (Dassault Systèmes)
  • SANS ISC: Exploit Attempts for Dassault DELMIA Apriso (CVE-2025-5086) – kontekst wcześniejszych ataków. (SANS Internet Storm Center)