サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は本日、攻撃者がダッソー・システムズのDELMIA Apriso(製造オペレーション管理(MOM)および実行(MES)ソリューション)の2つの脆弱性を積極的に悪用していると警告しました。
1つ目の脆弱性(CVE-2025-6205)は、認証されていない脅威アクターが未修正のアプリケーションにリモートで特権アクセスを取得できる重大な認可欠如のセキュリティ欠陥であり、2つ目(CVE-2025-6204)は、高い権限を持つ攻撃者が脆弱なシステム上で任意のコードを実行できる高危険度のコードインジェクション脆弱性です。
フランスのダッソー・システムズ社は、2025年8月初旬にこれら2つの脆弱性および欠陥を修正し、DELMIA Aprisoの2020年リリースから2025年リリースまでが影響を受けることを確認しました。
本日、CISAはこれら2つの脆弱性を実際に悪用されているとしてフラグを立て、既知の悪用脆弱性(KEV)カタログに追加しました。
2021年11月に発行された拘束力のある運用指令(BOD)22-01により、連邦民間行政機関(FCEB)は3週間以内、11月18日までにネットワークを保護しなければなりません。
これは米国政府機関のみに適用されますが、CISAはすべてのIT管理者およびネットワーク防御担当者に、できるだけ早く脆弱性の修正を優先するよう呼びかけています。
「この種の脆弱性は悪意のあるサイバーアクターによる攻撃ベクトルとして頻繁に利用され、連邦組織に重大なリスクをもたらします」とサイバーセキュリティ庁は述べています。「ベンダーの指示に従って緩和策を適用し、クラウドサービスには該当するBOD 22-01のガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止してください。」
CISAはまた、2025年9月に、脅威リサーチャーのJohannes Ullrichが最初の悪用の兆候を検出した1週間後に、重大なDELMIA Aprisoのリモートコード実行脆弱性(CVE-2025-5086)を積極的に悪用されている脆弱性カタログに追加しました。
DELMIA Aprisoは、世界中の企業で倉庫管理、生産スケジューリング、リソース配分、品質管理、および各種ビジネスアプリケーションとの生産設備統合に利用されています。
このソリューションは通常、自動車、電子機器、航空宇宙、産業機械部門に導入されており、トレーサビリティ、コンプライアンス、高度な品質管理およびプロセス標準化が重要とされる分野で利用されています。
