米国サイバーセキュリティ機関CISAは火曜日、DELMIA Apriso工場ソフトウェアにおける2つの最近の脆弱性が攻撃で悪用されていると警告しました。
フランスのDassault Systèmes社が開発した製造オペレーション管理(MOM)および製造実行システム(MES)ソフトウェアであるDELMIA Aprisoは、製造プロセス全体の管理を可能にします。
悪用が確認された2つの脆弱性は、CVE-2025-6204(CVSSスコア8.0)およびCVE-2025-6205(CVSSスコア9.1)として追跡されており、DELMIA Aprisoのリリース2020から2025までに影響します。
CVE-2025-6204は攻撃者が任意のコードを実行できるコードインジェクションのバグとして説明されており、CVE-2025-6205は認可が欠如している問題で、アプリケーションへの特権アクセスを得るために悪用される可能性があります。
ProjectDiscoveryによると、これら2つのセキュリティ欠陥は組み合わせて使用され、権限の高いアカウントを作成し、実行可能ファイルをWebで提供されるディレクトリに配置することができます。
「本製品は、従業員/アイデンティティの一括プロビジョニング用にXMLペイロードを受け付けるSOAPベースのメッセージプロセッサエンドポイントを公開しています。別途、ポータルコンポーネントによって使用されるファイルアップロードAPIも公開されていますが、こちらは認証後のみアクセス可能です」とProjectDiscoveryは指摘しています。
攻撃者は認証なしでSOAPメッセージプロセッサにリクエストを送り、任意のアカウントを作成して高い権限を割り当てることができます。その後、新たに作成したユーザーとして認証し、サーバーのWebルートに実行ファイルを配置できます。
Dassault Systèmesは8月4日に2つの脆弱性に対するパッチおよび簡易的なアドバイザリを公開し、ProjectDiscoveryは9月23日に技術的詳細を公開しました。
現在、CISAは両方の問題が実際に悪用されているとして、既知の悪用脆弱性(KEV)リストに追加しました。バインディング・オペレーショナル・ディレクティブ(BOD)22-01により、連邦機関は3週間以内にこれらの脆弱性にパッチを適用する必要があります。
BOD 22-01は連邦機関のみに適用されますが、すべての組織はCISAのKEVリストを確認し、記載されているセキュリティ欠陥に対するパッチや緩和策を適用すべきです。
脆弱なDELMIA Aprisoの導入による潜在的な侵害を調査するため、組織は新たに作成された特権アカウントを確認し、Webシェルなどの実行ファイルがディレクトリに存在しないかスキャンする必要があります。
先月、CISAは攻撃者が別のDELMIA Aprisoの脆弱性CVE-2025-5086(CVSSスコア9.0)を悪用しており、これがリモートコード実行につながる可能性があると警告しました。
翻訳元: https://www.securityweek.com/cisa-warns-of-exploited-delmia-factory-software-vulnerabilities/
