Según una alerta emitida por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y VulnCheck, los atacantes están explotando activamente múltiples fallas de seguridad que afectan a DELMIA Apriso y XWiki de Dassault Systèmes.
Las vulnerabilidades se enumeran a continuación.
CVE-2025-6204 (puntuación CVSS: 8,0): una vulnerabilidad de inyección de código en Dassault Systèmes DELMIA Apriso podría permitir a un atacante ejecutar código arbitrario. CVE-2025-6205 (Puntuación CVSS: 9,1): una vulnerabilidad de autorización faltante en Dassault Systèmes DELMIA Apriso podría permitir a un atacante obtener acceso privilegiado a la aplicación. CVE-2025-24893 (puntuación CVSS: 9,8): la invalidación inadecuada de la entrada en la llamada de evaluación dinámica de XWiki (también conocida como inyección de evaluación) puede permitir a los usuarios invitados realizar la ejecución remota de código arbitrario mediante una solicitud al punto final «/bin/get/Main/SolrSearch».
CVE-2025-6204 y CVE-2025-6205 afectan a las versiones de DELMIA Apriso desde la versión 2020 hasta la versión 2025. Dassault Systèmes solucionó estos problemas a principios de agosto.
Curiosamente, estas dos fallas se agregaron al catálogo de vulnerabilidades explotadas conocidas (KEV) poco más de un mes después de que CISA informara la explotación de otra falla crítica en el mismo producto (CVE-2025-5086, puntuación CVSS: 9.0) y una semana después de que SANS Internet Storm Center detectara el ataque real. Actualmente no está claro si estos esfuerzos están relacionados.
VulnCheck, que detectó el intento de explotación dirigido a CVE-2025-24893, declaró que la vulnerabilidad se está explotando como parte de una cadena de ataque de dos pasos dirigida a mineros de criptomonedas. Según CrowdSec y Cyble, se dice que esta vulnerabilidad se utilizó como arma en ataques reales que se remontan a marzo de 2025.
«Hemos observado múltiples intentos de explotación contra nuestros canarios XWiki por parte de atacantes ubicados en Vietnam», dijo Jacob Baines de VulnCheck. «El exploit se desarrolla en un flujo de trabajo de dos pasadas con al menos 20 minutos de diferencia. La primera pasada ejecuta el descargador (escribe el archivo en el disco) y luego la segunda pasada lo ejecuta».
La carga útil utiliza wget para recuperar el descargador (‘x640’) de ‘193.32.208(.)24:8080’ y lo escribe en la ubicación ‘/tmp/11909’. Luego, el descargador ejecuta comandos de shell para recuperar dos cargas útiles adicionales del mismo servidor.
x521: busque el minero de criptomonedas ubicado en ‘193.32.208(.)24:8080/rDuiQRKhs5/tcrond’. x522: elimine a los mineros competidores como XMRig y Kinsing e inicie los mineros con la configuración c3pool.org.
Según VulnCheck, este tráfico de ataque se origina desde una dirección IP ubicada en Vietnam (‘123.25.249(.)88’) y AbuseIPDB lo marcó como malicioso para ataques de fuerza bruta antes del 26 de octubre de 2025.
Dada la explotación activa, se recomienda a los usuarios que apliquen las actualizaciones necesarias para protegerse contra las amenazas lo antes posible. Varias agencias del Poder Ejecutivo Civil (FCEB) tienen hasta el 18 de noviembre de 2025 para corregir deficiencias en DELMIA Apriso.
Source link
